一種涉及使用特定名稱注冊(cè)域的新域名系統(tǒng) （DNS） 攻擊方法可用于研究人員所描述的“國家級(jí)間諜活動(dòng)”。

　　Wiz首席技術(shù)官Ami Luttwak和Shir Tamari于上周在拉斯維加斯舉行的Black Hat網(wǎng)絡(luò)安全會(huì)議上公布展示了他們發(fā)現(xiàn)的一類新漏洞，這些漏洞暴露了來自全球數(shù)百萬個(gè)端點(diǎn)的寶貴動(dòng)態(tài)DNS數(shù)據(jù)。DNS（域名服務(wù)）是互聯(lián)網(wǎng)的基礎(chǔ)之一，是一個(gè)極其復(fù)雜和分散的系統(tǒng)，其核心是將可讀域名轉(zhuǎn)換為數(shù)字IP地址。

　　Black Hat有一項(xiàng)令人自豪的DNS研究傳統(tǒng)，最著名的是在2008年，已故偉大的丹·卡明斯基通過揭露互聯(lián)網(wǎng)的一些基本缺陷阻止了互聯(lián)網(wǎng)世界末日。一般來說，從那時(shí)起，DNS變得更加安全了。盡管如此，DNS漏洞通常很關(guān)鍵，因?yàn)樗鼈兪谷驍?shù)十億設(shè)備處于危險(xiǎn)之中。

　　如今，托管DNS 提供商（例如 Amazon Route53、Google Cloud DNS 和 Akamai等）的興起以及遠(yuǎn)程工作的無處不在，正在為這一為世界設(shè)計(jì)的數(shù)十年歷史的協(xié)議結(jié)構(gòu)中延伸并撕裂新的漏洞員工和服務(wù)器都在“本地”。

　　我們收到了哪些流量？

　　他們?cè)趯?duì)Amazon Route 53（一種提供給 AWS 用戶的云DNS Web服務(wù)）進(jìn)行分析時(shí)發(fā)現(xiàn)了這種攻擊方法。Route 53提供大約2000個(gè)DNS服務(wù)器，其名稱如ns-852.awsdns-42.net。Wiz研究人員發(fā)現(xiàn)，如果他們將域鏈接到他們控制的服務(wù)器的IP地址，則注冊(cè)具有此類名稱的域并將其添加到Route 53中的具有相同名稱的DNS服務(wù)器會(huì)產(chǎn)生一些有趣的結(jié)果。

　　研究人員解釋說：“每當(dāng)DNS客戶端向該名稱服務(wù)器查詢自身信息時(shí)（數(shù)千臺(tái)設(shè)備會(huì)自動(dòng)更新其托管網(wǎng)絡(luò)中的IP地址），流量將直接發(fā)送到我們的IP地址?！痹谒麄兊腂lack Hat演講之后發(fā)表的一篇博文說道。

　　他們聲稱已收到來自15000多個(gè)組織的DNS流量，其中包括財(cái)富500強(qiáng)公司、45個(gè)美國政府機(jī)構(gòu)和85個(gè)來自其他國家/地區(qū)的政府機(jī)構(gòu)。截獲的數(shù)據(jù)包括內(nèi)部和外部IP地址、計(jì)算機(jī)名稱、用戶名和辦公地點(diǎn)。

　　此數(shù)據(jù)包含在來自Windows設(shè)備的動(dòng)態(tài)DNS流量。據(jù)研究人員稱，該問題與 Windows設(shè)備IP地址更改時(shí)用于查找和更新主DNS服務(wù)器的算法有關(guān)。

　　為什么我們會(huì)收到這樣的流量？

　　簡短的回答是，Microsoft機(jī)器使用獨(dú)特的算法來查找和更新IP地址更改時(shí)的主DNS服務(wù)器。最終該算法將查詢被劫持的域名服務(wù)器以獲得它自己的地址。結(jié)果？由于我們已將該服務(wù)器定向到我們的惡意IP地址，因此我們開始接收所有查詢流量。

　　為了更好地理解這一點(diǎn)，假設(shè)一名Wiz員工決定在家工作 - 就像我們大多數(shù)人最近一樣 - 并連接到他們的家庭WiFi。他們的工作筆記本電腦從他們的家用路由器獲得一個(gè)內(nèi)部IP地址，并會(huì)嘗試找到公司的本地主服務(wù)器以使用這個(gè)新地址更新它。

　　最終，端點(diǎn)將嘗試更新主服務(wù)器，這是一個(gè)管理數(shù)千個(gè)客戶的AWS共享服務(wù)器。AWS名稱服務(wù)器不支持動(dòng)態(tài)DNS更新，因此更新請(qǐng)求將失敗。

　　到目前為止，Microsoft算法完全按預(yù)期工作，此時(shí)它應(yīng)該停止并放棄更新主服務(wù)器。但事實(shí)并非如此——這就是問題出現(xiàn)的地方。微軟并沒有放棄，而是嘗試以另一種方式找到主DNS服務(wù)器。下一步將檢查 Wiz 的名稱服務(wù)器是否有主服務(wù)器的記錄。

　　AWS的名稱服務(wù)器使用我們提供的IP地址進(jìn)行響應(yīng)，在本例中為1.3.3.7。這是Windows端點(diǎn)發(fā)送動(dòng)態(tài)更新的地方……無意中將其內(nèi)部 IP 地址、計(jì)算機(jī)名稱和其他信息泄露到我們的惡意DNS服務(wù)器。

　　如何使用這些數(shù)據(jù)？

　　“[泄露的流量]讓任何人都可以鳥瞰公司和政府內(nèi)部發(fā)生的事情。我們將其比作擁有民族國家級(jí)的間諜能力——而且獲得它就像注冊(cè)一個(gè)域一樣容易，”研究人員說。

　　為了證明此類攻擊的潛在影響，他們使用收集到的數(shù)據(jù)根據(jù)從40000多臺(tái)計(jì)算機(jī)收到的流量繪制了一家大型服務(wù)公司員工的位置圖。

　　他們聲稱，這種位置映射還使他們能夠確定一家大型商品貿(mào)易公司和一家大型信用合作社的子公司顯然在受美國制裁的國家/地區(qū)擁有員工，這將違反這些制裁。

　　誰負(fù)責(zé)解決問題？

　　在得知這個(gè)問題后，亞馬遜和谷歌實(shí)施了修復(fù)，但Wiz認(rèn)為其他DNS提供商也可能存在漏洞，這意味著此類攻擊仍然可能發(fā)生。

　　微軟也收到了通知，但這家科技巨頭表示，這是“組織使用外部DNS解析器時(shí)發(fā)生的已知錯(cuò)誤配置”，而不是漏洞。

　　Wiz表示，雖然服務(wù)提供商可以采取一些措施來防止此類事件發(fā)生，但組織可以通過確保正確配置DNS解析器以防止動(dòng)態(tài)DNS更新離開內(nèi)部網(wǎng)絡(luò)來防止此類數(shù)據(jù)泄漏。