美国问题应急指令停止DNS劫持
美国国土安全部(DHS)已发出紧急指令,以努力停止域名系统(DNS)基础设施篡改攻击的运动。
在计算机紧急准备团队(US-CERT)发出关于基础设施劫持活动的警报后,紧急指令仅次于一周。
“使用受损凭据,攻击者可以修改组织域名资源解析的位置”警报警告。“这使攻击者能够将用户流量重定向到攻击者控制的基础架构,并获取组织域名的有效加密证书,从而实现中间人攻击。”
Cyeber Security公司的研究人员的警告引用了Fireeye的巨大事件反应和情报团队认为,一波DNS劫持,显然来自伊朗,正在影响中东和北方的政府,电信和互联网基础设施实体的数十个域名非洲,欧洲和北美。
紧急指令表示,DHS网络安全和基础设施安全机构(CISA)正在跟踪一系列涉及DNS基础设施篡改的事件,了解受影响的多个执行分支机构域,并已通知维持这些的机构。据Cyberscoop表示,至少有六个机构域名受到影响,引用了熟悉此事的来源。
为了应对美国代理信息和信息系统的“重大和迫在眉睫的风险”,应急指令规定了四项行动,即机构必须在10个工作日内完成,以减轻未被发现的篡改的风险,以使机构能够预防非法DNS活动为其域名并检测未经授权的证书:
审核所有.gov和代理管理域的DNS记录,以验证它们是否解决了预期的位置并报告任何不存在的域。更改DNS帐户密码,适用于可以对代理DNS记录进行更改的系统上的所有帐户。将多因素身份验证(MFA)添加到可以对代理DNS记录更改的系统上的所有帐户。监控证书透明度(CT)日志用于证书,证书他们没有请求并报告任何未经授权的证书。作为回报,CISA已经开展了向报告异常DNS记录的机构提供技术援助,审查无法在时间表内的DNS账户中执行MFA的机构的提交,提供通过网络的CT对代理域的CT日志进行定期交付代理商卫生服务,并根据要求为各机构提供额外的指导。
DNS被互联网上的每个业务使用,但是还具有任何对DNS性能的知识或控制,其中92%的英国企业在其互联网用户和访问者对其网站和其他网站上的对DNS性能的影响有限的知名度资源,根据2017年通过独立分析师Quocirca报告,由通信和分析公司Neustar委托。
由于DNS是Internet的基本组成部分,并且每个组织,网页,电子邮件和因特网连接设备以某种方式使用它,犯罪分子不可避免地使用DNS进行一系列活动,包括恶意软件通信,数据exfiltration和目标网络钓鱼。
