在最近关于旨在修改域名系统记录的大规模攻击的报道之后,英国国家网络安全中心(NCSC)发布了一份针对组织的缓解选项的咨询,以防范此类威胁。
域名系统(DNS)是负责在我们导航到Web域时将Web浏览器指向正确的IP地址的服务。
DNS劫持 - 为恶意目的改变DNS设置,为一系列严峻的可能性铺平了道路。从用户的角度来看,其中主要是网络钓鱼和流量拦截,而组织可能遭受更大的打击,可能导致失去对域名的控制权。
成千上万的受害者
有几份关于DNS劫持攻击的报告针对消费者的财务奖励或各种组织的网络间谍活动。
一个报告, 这个星期与Avast的遥测数据显示,二月和六月至少18万之间的用户在巴西有自己的路由器损害,且DNS设置改变。
到3月底,防病毒软件已经阻止了超过460万次跨站点请求伪造(CSRF)尝试,这些尝试将改变路由器上的DNS设置。
Ixia的研究人员也一直在跟踪针对消费级路由器的DNS劫持活动。他们注意到4月初的浪潮,旨在将受害者重定向到Gmail,PayPal,优步和Netflix等服务的虚假页面,其中包括金融机构和网络托管服务提供商。
上周,思科Talos公布了一项关于海龟的重新活动的分析,海龟是一个使用DNS劫持进行网络间谍活动的威胁行为者; 最终结果是将受害者重定向到攻击者控制的服务器。
在持续至少两年的活动中,Sea Turtle主要针对中东和北非的组织,通过破坏负责受害者使用的DNS服务的第三方实体(电信公司,ISP,IT公司,域名注册商)。
英国NCSC周五发布了一份文件,概述了DNS劫持企图所带来的风险,并为组织提供建议,以保护自己免受此类危险。
域名注册商服务的注册人帐户是高价值目标,可以通过凭证填充,网络钓鱼或其他形式的社交工程等常用技术接管。
因此,NCSC建议使用独特的强密码保护网络钓鱼,并在选项可用时启用多因素身份验证。
定期检查与帐户关联的详细信息并确保它们是最新的并指向组织而不是个人,这是阻止成功接管帐户(ATO)的好方法。
仅限于负责进行更改的公司人员限制对帐户的访问权限可降低入侵者控制帐户的风险。
额外保护来自“注册商锁定”服务,可通过许多域名注册服务获得。在修改联系人详细信息和名称服务器或授权域名转移之前,它需要其他身份验证。
对于运行自己的DNS基础架构的组织,NCSC建议实施访问和更改控制系统,这些系统可以为DNS记录提供备份和还原功能,并强制严格访问管理DNS服务的计算机。
SSL监控和实施域名系统安全扩展(DNSSEC)规范也在NCSC的建议列表中。
虽然SSL监控有助于密切关注公司域名的SSL证书,但DNSSEC确保服务器上的DNS记录带有加密签名。
但是,这种缓解措施不适用于消费者,他们的选择范围要小得多。使用最新固件更新设备,检查网站是否具有有效证书以及验证DNS设置是降低受到DNS劫持受害者风险的好方法。
一些用于消费者使用的网络级安全解决方案也可能阻止可能导致未经授权修改DNS设置和其他类型恶意活动的漏洞利用尝试。