9月9日至15日,2024年国家网络安全宣传周在全国范围内开展。DNS是互联网最重要的基础服务之一,负责将人类可读的域名解析为机器可读的IP地址,是所有数字业务的第一跳。IPv6时代,“一物多址,万物互联”基于DNS实现,DNS的重要性不言而喻。然而,传统的DNS协议存在诸多安全隐患,DNS劫持、网络监听和缓冲区投毒等层出不穷,不仅威胁到用户的隐私和安全,也影响到DNS的稳定性和可靠性,成为网络安全全局中不可忽视的阴影。
面向网络安全态势与下一代DNS创新发展,互联网域名系统国家工程研究中心(ZDNS)带您盘点2024年截至目前的10大DNS安全事件,从域名安全风险中一览网络根基安全趋势。
01 KeyTrap史诗级漏洞曝光,可导致全球互联网瘫痪
2月,来自德国国家应用网络安全研究中心ATHENE的研究人员联合歌德大学法兰克福特分校、弗劳恩霍夫安全信息技术研究所和达姆施塔特工业大学的专家,共同发现了一个可导致全球互联网瘫痪的名为KeyTrap的严重漏洞。该漏洞隐藏在DNSSEC即域名系统安全扩展功能中,可被攻击者利用发动DoS攻击,长时间阻断应用程序访问互联网。
02众多知名品牌子域名被劫持,发送海量诈骗邮件
2月,一个名为“SubdoMailing”的大规模广告欺诈活动使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件,每天发送量高达500万封电子邮件,用于诈骗和恶意广告盈利。
域名遭到劫持的企业中不乏知名品牌,如MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、NYC.gov、普华永道、培生、联合国儿童基金会、美国公民自由联盟、赛门铁克、Java.net、Marvel和易趣等。从这些知名品牌的域名和子域名发送的恶意电子邮件可以绕过垃圾邮件过滤器。此外,不法分子还利用SPF和DKIM电子邮件策略来欺骗安全电子邮件网关,将这些电子邮件识别为合法邮件。
通过检测电子邮件元数据中的异常模式,Guardio Labs的研究人员Nati Tal和Oleg Zaytsev最终发现了这个大规模的子域劫持操作,并报告称该活动自2022年以来一直在进行。对MSN域名错误授权垃圾邮件的案例研究显示,攻击者为使电子邮件看上去合法并逃检测和过滤,使用了多种攻击方法:包括滥用SPF(发件人策略框架)检查、DKIM(域名密钥识别邮件)和DMARC(域名基于消息认证、报告和一致性)协议。
03 印度政府网站被黑,竟成在线博彩平台
5月,据TechCrunch报道,有安全研究人员发现,部分印度政府网站被黑客植入广告,将访问者重定向到在线博彩平台。与印度比哈尔邦、果阿邦、卡纳塔克邦、喀拉拉邦、米佐拉姆邦和特兰加纳邦等邦相关的约四十几个"gov.in"网站链接被重定向到在线博彩平台。其中一些网站属于各邦的邦警察局和财产税部门。这些诈骗链接被包括Google在内的搜索引擎收录,使得这些广告很容易在网上找到。
这些重定向网站被吹捧为"亚洲最受欢迎"的在线投注平台和"印度排名第一的在线板球投注应用程序",声称可以进行游戏投注,包括板球锦标赛,如印度超级联赛。
发现这一问题后,媒体TechCrunch 向印度计算机应急小组(CERT-In)发出了警报,并提供了几个受影响的邦政府网站链接供参考,CERT-In证实已将此事提升优先级处理。
04 DNSBomb脉冲式DoS攻击,对主流DNS提出严峻考验
据cybersecuritynews报道,网络安全研究人员揭示了一种新型且强大的拒绝服务(DoS)攻击,名为“DNSBomb”。该攻击利用域名系统(DNS)的固有机制,制造出一种强大的脉冲式DoS攻击,对互联网基础设施构成重大威胁。
DNSBomb利用了几种常见的DNS机制,包括超时(timeout)、查询聚合(query aggregation)和快速返回响应(fast-returning response)。这些机制原本旨在确保DNS系统的可用性、安全性和可靠性,但在攻击者的巧妙设计下,却被转化为恶意的攻击工具。通过以低速率发送DNS查询,并将这些查询放大成大规模响应,DNSBomb将所有DNS响应集中成短时间内的高频次周期性脉冲攻击。这样的攻击方式使得DNS系统在短时间内承受巨大的流量压力,导致网络资源的严重消耗和服务的中断。
05 乌克兰对俄政府机构发起大规模网络攻击
6月,乌克兰国防部情报总局的网络专家对俄政府机构和大公司进行了大规模分布式拒绝服务(DDoS)攻击。消息称,俄罗斯多个政府机构和私营企业的工作实际上已经瘫痪。
截至6月5日11时,俄罗斯国防部、财政部、内政部、司法部、工业和能源部、信息技术部等机构网络瘫痪。俄罗斯联邦税务局的网站和服务也出现了故障。此外俄罗斯储蓄银行和阿尔法银行机构的服务也无法使用。
06 大规模域名劫持,暴露DeFi应用安全漏洞
7月,一次重大的DNS劫持攻击暴露了托管在Squarespace上的120多个DeFi应用的安全漏洞。攻击者通过劫持域名系统记录,将用户重定向到恶意网站,从而窃取敏感信息和资金。
此次攻击专门针对DeFi应用程序,受影响的协议包括知名的Compound和CelerNetwork。这些平台在去中心化金融领域拥有大量用户和资金储备,因此成为了攻击者的主要目标。攻击者通过破坏DNS记录,成功拦截了用户对合法DeFi平台的访问,将他们引导至精心设计的钓鱼网站。
调查显示,攻击者选择Squarespace作为主要攻击平台,使所有使用该平台的DeFi应用面临极大的风险。Squarespace作为一个广受欢迎的网站托管服务平台,许多DeFi项目为了便捷性和用户体验,选择了在其上搭建平台。然而,正是这一选择,使得这些项目在此次攻击中受到重创。
07 “黑悟空”现象级刷屏,游戏平台Steam“崩”上热搜
8月20日《黑神话:悟空》正式上线,迅速登顶Steam。8月24日晚,游戏平台Steam突然崩溃,范围波及全球,众多玩家纷纷反馈无法登录。随着 Steam 平台的崩溃,该游戏的实时在线人数迅速降到百万以下,相关话题#steam 崩了#也迅速登上热搜。
随后,Steam中国区代理——完美世界竞技平台发布了正式说明公告,指出本次 Steam 崩溃是由于受到了大规模DDoS攻击导致,玩家可以尝试重连游戏。
08 国内大量家用路由器网络访问异常和流量劫持
8月,腾讯发文,称近期监测到大量家用路由器的DNS解析配置被篡改,从而影响到了正常的网站和APP访问。攻击者通过搜集公网可访问的路由器地址,利用漏洞或弱口令获取路由器控制权限,修改路由器DNS服务器地址,达到中间人攻击的效果。
从2024年5月开始,国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况,据介绍,该情况于2024年5月开始出现,于8月5日集中爆发达到峰值,截止8月7日,经过测试确认,导致本次故障大规模爆发的域名在异常 DNS 服务器上已经恢复,但受 TTL 及客户端本地缓存的影响,客户端的恢复时间会有一定的滞后性。
09 Savvy Seahorse集团滥用CNAME记录欺骗投资者
据公开报告,网络犯罪组织Savvy Seahorse正在滥用 CNAME 记录来创建支持金融欺诈活动的流量分配系统。诈骗者通过 Facebook 广告吸引受害者,将他们引导至虚假投资平台,诱骗人们存入资金并输入敏感个人信息。欺诈活动的显著特点是使用假的ChatGPT和WhatsApp机器人,自动回复用户的问题,诱使他们透露个人信息,以换取承诺的高回报投资。
CNAME记录是一种DNS记录,它将域或子域映射到另一个域名,而不是直接映射到 IP 地址。这会导致 CNAME 充当目标域的别名,从而更轻松地管理重定向,并确保对目标域IP地址的任何更改也自动应用于 CNAME。Savvy Seahorse创造性地使用规范名称 (CNAME) 记录作为其运营的流量交付系统 ( TDS ),使其能够轻松更改 IP 地址以逃避检测。
10 二维码钓鱼升级,中国公民成主要目标
据公开报道,Cyble 研究与情报实验室 (CRIL) 的研究人员发现了一个针对中国公民的网络钓鱼活动,该活动使用伪装成某机构官方文件的恶意 Word 文档。用户被诱骗在身份验证和认证流程中提供银行卡的详细信息和密码。
该活动使用嵌入二维码的 Microsoft Word 文档,通过垃圾邮件附件分发。文档被设计成来自政府网站的官方通知,提供 1000 元以上的劳动力补贴来引诱受害者,一旦扫描文件中的二维码,就会将用户重定向到一个旨在收集敏感信息的钓鱼网站。
此次攻击使用了域名生成算法 (DGA),该算法会生成一系列看似随机的域名,网络犯罪分子和僵尸网络运营商通常使用它来频繁更改用于发起恶意软件攻击的域名。这种技术使黑客能够避开阻止特定域名和静态 IP 地址的恶意软件检测解决方案。