一種涉及使用特定名稱註冊域的新域名系統 (DNS) 攻擊方法可用於研究人員所描述的“國家級間諜活動”。
Wiz首席技術官Ami Luttwak和Shir Tamari於上週在拉斯維加斯舉行的Black Hat網路安全會議上公佈展示了他們發現的一類新漏洞,這些漏洞暴露了來自全球數百萬個端點的寶貴動態DNS資料。DNS(域名服務)是網際網路的基礎之一,是一個極其複雜和分散的系統,其核心是將可讀域名轉換為數字IP地址。
Black Hat有一項令人自豪的DNS研究傳統,最著名的是在2008年,已故偉大的丹·卡明斯基透過揭露網際網路的一些基本缺陷阻止了網際網路世界末日。一般來說,從那時起,DNS變得更加安全了。儘管如此,DNS漏洞通常很關鍵,因為它們使全球數十億裝置處於危險之中。
如今,託管DNS 提供商(例如 Amazon Route53、Google Cloud DNS 和 Akamai等)的興起以及遠端工作的無處不在,正在為這一為世界設計的數十年曆史的協議結構中延伸並撕裂新的漏洞員工和伺服器都在“本地”。
我們收到了哪些流量?
他們在對Amazon Route 53(一種提供給 AWS 使用者的雲DNS Web服務)進行分析時發現了這種攻擊方法。Route 53提供大約2000個DNS伺服器,其名稱如ns-852。awsdns-42。net。Wiz研究人員發現,如果他們將域連結到他們控制的伺服器的IP地址,則註冊具有此類名稱的域並將其新增到Route 53中的具有相同名稱的DNS伺服器會產生一些有趣的結果。
研究人員解釋說:“每當DNS客戶端向該名稱伺服器查詢自身資訊時(數千臺裝置會自動更新其託管網路中的IP地址),流量將直接傳送到我們的IP地址。”在他們的Black Hat演講之後發表的一篇博文說道。
他們聲稱已收到來自15000多個組織的DNS流量,其中包括財富500強公司、45個美國政府機構和85個來自其他國家/地區的政府機構。截獲的資料包括內部和外部IP地址、計算機名稱、使用者名稱和辦公地點。
此資料包含在來自Windows裝置的動態DNS流量。據研究人員稱,該問題與 Windows裝置IP地址更改時用於查詢和更新主DNS伺服器的演算法有關。
為什麼我們會收到這樣的流量?
簡短的回答是,Microsoft機器使用獨特的演算法來查詢和更新IP地址更改時的主DNS伺服器。最終該演算法將查詢被劫持的域名伺服器以獲得它自己的地址。結果?由於我們已將該伺服器定向到我們的惡意IP地址,因此我們開始接收所有查詢流量。
為了更好地理解這一點,假設一名Wiz員工決定在家工作 - 就像我們大多數人最近一樣 - 並連線到他們的家庭WiFi。他們的工作膝上型電腦從他們的家用路由器獲得一個內部IP地址,並會嘗試找到公司的本地主伺服器以使用這個新地址更新它。
最終,端點將嘗試更新主伺服器,這是一個管理數千個客戶的AWS共享伺服器。AWS名稱伺服器不支援動態DNS更新,因此更新請求將失敗。
到目前為止,Microsoft演算法完全按預期工作,此時它應該停止並放棄更新主伺服器。但事實並非如此——這就是問題出現的地方。微軟並沒有放棄,而是嘗試以另一種方式找到主DNS伺服器。下一步將檢查 Wiz 的名稱伺服器是否有主伺服器的記錄。
AWS的名稱伺服器使用我們提供的IP地址進行響應,在本例中為1。3。3。7。這是Windows端點發送動態更新的地方……無意中將其內部 IP 地址、計算機名稱和其他資訊洩露到我們的惡意DNS伺服器。
如何使用這些資料?
“[洩露的流量]讓任何人都可以鳥瞰公司和政府內部發生的事情。我們將其比作擁有民族國家級的間諜能力——而且獲得它就像註冊一個域一樣容易,”研究人員說。
為了證明此類攻擊的潛在影響,他們使用收集到的資料根據從40000多臺計算機收到的流量繪製了一家大型服務公司員工的位置圖。
他們聲稱,這種位置對映還使他們能夠確定一家大型商品貿易公司和一家大型信用合作社的子公司顯然在受美國製裁的國家/地區擁有員工,這將違反這些制裁。
誰負責解決問題?
在得知這個問題後,亞馬遜和谷歌實施了修復,但Wiz認為其他DNS提供商也可能存在漏洞,這意味著此類攻擊仍然可能發生。
微軟也收到了通知,但這家科技巨頭表示,這是“組織使用外部DNS解析器時發生的已知錯誤配置”,而不是漏洞。
Wiz表示,雖然服務提供商可以採取一些措施來防止此類事件發生,但組織可以透過確保正確配置DNS解析器以防止動態DNS更新離開內部網路來防止此類資料洩漏。
詳細文章參見Black Hat 2021: DNS loophole makes nation-state level spying as easy as registering a domain:
https://www.wiz.io/blog/black-hat-2021-dns-loophole-makes-nation-state-level-spying-as-easy-as-registering-a-domain
