摘要:自2019年7月18號開始�����,美國政府將實施針對所有.gov域名的新DNS安全措施,以幫助降低與未來DNS劫持事件相關(guān)的風(fēng)險���。
根據(jù)美國總務(wù)管理局(GSA)稱����,DotGov計劃將運營.GOV頂級域名(TLD)��,從而使得美國政府組織,從聯(lián)邦機構(gòu)到當(dāng)?shù)厥姓?dāng)局都可以實施該計劃���。
DotGov計劃主要新的安全措施為����,當(dāng)官方.gov注冊商進行DNS更改��,域名聯(lián)系人將自動發(fā)送電子郵件警報:
并稱在24小時內(nèi)更改了DNS都會立即響應(yīng)�。
而其中提及的最新的事件指的便是,伊朗針對全球發(fā)起的DNS劫持活動�����,下圖為CISA關(guān)于DNS劫持活動的風(fēng)險提示���,并且指向的網(wǎng)站中所提及的兩份安全廠商的報告����,均與伊朗網(wǎng)軍APT34所使用的DNSpionage惡意軟件有關(guān)�,而這一切同樣與海龜行動存在關(guān)聯(lián)性。
小編前些日子曾報道過一篇關(guān)于疑似來自伊朗國家背景的一支專門從事DNS劫持的攻擊團隊�,其活動被命名為海龜活動,而在他最新的活動中�����,黑客攻擊劫持了希臘的頂級域名注冊商后,還搜索了曝光了他行動的安全廠商的網(wǎng)站�����,實在令人摸不著頭腦�。當(dāng)然,海龜行動的攻擊范圍為中東地區(qū)��,歐洲�,和美國。
小編翻閱DotGov計劃的PPT后����,發(fā)現(xiàn)其無論是針對什么域名����,其中所提及的DNS安全措施都具有參考意義。(說句大實話�����,感覺就是來推銷自家的.gov域名��,讓一些城鎮(zhèn)單位使用.gov,別用.com域名���,.net域名這些)
而本次這項新的DotGov計劃是由國家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)1月份發(fā)布的全球域名系統(tǒng)(DNS)基礎(chǔ)設(shè)施劫持活動警報(也就是上面那個)引起的���,該中心是網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的一部分。
當(dāng)時�����,NCCIC建議網(wǎng)絡(luò)管理員遵循這套旨在保護其網(wǎng)絡(luò)免受DNS劫持攻擊的最佳解決方案:
1�、在域名注冊商帳戶或用于修改DNS記錄的其他系統(tǒng)上實施多因素身份驗證。
2���、驗證DNS基礎(chǔ)結(jié)構(gòu)(二級域��,子域和相關(guān)資源記錄)是否指向正確的Internet協(xié)議地址或主機名�。
3�����、搜索與域相關(guān)的加密證書并撤消任何欺詐性請求的證書���。
此前����,在2018年10月1日,DotGov引入了雙步驗證�����, 以增強.gov注冊商帳戶的安全性�,使?jié)撛诘墓粽吒y以接管帳戶并更改DNS域名設(shè)置。
7月14日����,英國國家網(wǎng)絡(luò)安全中心(NCSC)也發(fā)布了一份咨詢報告,描述了與DNS劫持攻擊相關(guān)的風(fēng)險����,以及組織防御此類威脅的緩解方案。
這些惡意攻擊會導(dǎo)致各種其他類型的攻擊��,從針對常規(guī)用戶的流量嗅探和網(wǎng)絡(luò)釣魚到針對組織的嚴(yán)重攻擊���,最終可能導(dǎo)致域和服務(wù)器的控制丟失。
恰巧近日���,Malwarebytes Labs的安全研究人員發(fā)現(xiàn)了一個名為Extenbro 的新DNS變更木馬���。
該惡意軟件會阻止訪問安殺毒軟件廠商的網(wǎng)站��,以防止受害者刪除釋放在其計算機上的廣告軟件���。
