近日，思科Talos安全团队（以下简称Talos）发出新警告：名为“海龟( Sea Turtle )”的黑客团伙大肆利用各国政府机构的DNS信息发起黑客攻击。业界将此次攻击命名为“海龟攻击”。

目前，海龟攻击已经侵入了13个国家的40个组织机构。虽然DNS攻击在2018年owasp排名同样未进前10，但海龟的操作方式却有别于近几个月来的其他DNS攻击。

DNS劫持（DNS钓鱼攻击），是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做，使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。

DNS攻击的常用方式为域名劫持、缓存感染、DDOS、DNS欺骗。在之前的DNS攻击中，黑客只是简单地将DNS条目重定向到他们自己的恶意域名上。而海龟攻击中，黑客创建了自己的域名服务器并窃听流量，以盗取凭证和其他信息。攻击者还直接搜寻整个域名注册表，而不是仅仅单个域名信息，同时广泛利用所获注册表中的所有注册记录。

Talos团队称，海龟攻击者能够利用整个国别顶级域(ccTLDs)注册表。攻击似乎可追溯到2017年1月，且现在还在持续。思科强调称，海龟攻击从本质上不同于之前报道DNS攻击团队。美国政府曾在今年1月警告过DNS劫持的风险，指示组织机构采取多个步骤以保护他们的DNS信息。

海龟攻击者使用入手的ccTLDs并利用其DNS基础设施的方法，访问通过鱼叉式网络钓鱼或已知漏洞利用展开，攻击用户最薄弱环节。劫持不同DNS记录的耗时从几分钟到几天不等。

不幸的是，没有任何一个网络经受得住渗透。

海龟攻击虽然有出于经济利益动机，但就目前看来，攻击者似乎完全专注于间谍情报获取。这对各国家政府造成了巨大影响。

方式一：利用DNS服务器进行DDOS攻击

正常的DNS服务器递归询问过程可能被利用成DDOS攻击的。假设攻击者已知被攻击机器的IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。

方式二：DNS缓存感染

攻击者使用DNS请求，将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上，或者通过伪造的邮件和其他的server服务获取用户口令信息，导致客户遭遇进一步的侵害。

方式三：DNS信息劫持

原则上TCP/IP体系通过序列号等多种方式避免仿冒数据的插入，但入侵者如果通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

方式四：DNS重定向

攻击者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全至于攻击者的控制之下。

Talos团队为公司企业提供了一些降低DNS劫持风险的方法：

1、使用注册表锁定服务——锁定注册表后，只有新增信息并请求授权才可以做修改。

2、启用多因子身份验证(MFA)——不能仅仅依靠用户名和口令来保护域名访问的安全。多因子身份验证(MFA)需要采用第二口令或令牌来获得访问权。

3、DNSSEC(DNS安全扩展)提供对域名信息的额外加密保障，或许有助于该问题的解决。但攻击者已经显示出他们绕过防御策略的能力，所以到底效果如何尚不能确定。

4、业务系统打补丁、深度防御。

5、增加用户安全意识培养，这是最关键的。

来源：

安全牛

赛迪网

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com