日前,据新浪科技报道:1月21日下午3点,全国所有通用顶级域的根服务器出现异常,导致国内大部分用户无法正确解析域名,对全国互联网链接造成系统性影响。据360安全卫士官方微博透露,经360网站卫士测试发现,很多网站被解析到65.49.2.178,原因在于国际节点出现故障,国内三分之二DNS处于瘫痪状态。
另据雅虎报告:2014年1月3日,雅虎广告系统及其所有客户遭受了恶意软件注入攻击事件的影响。调查显示,恶意广告在2013年12月30日至2014年1月3日间发起攻击。在此期间,访问yahoo.com网站的用户受到了恶意广告的攻击,其通过受攻击者浏览器的Java扩展对其系统安装恶意软件而发起攻击。该恶意软件通过雅虎的广告服务器短时间内攻击了大量客户。据估计,装有恶意代码的网站每小时大约被访问300,000次,估计每小时大约造成27,000次感染。 据报道,英国、法国和罗马尼亚是本次受攻击最严重的国家,原因可能是由雅虎的恶意广告配置造成。
一个国内,一个国外,近期频繁发生的重大互联网安全事件,似乎都指向同一关键词DNS。这个以前几乎无人关注的领域,一时间成了最热门的话题,国内行业专家不禁惊呼,中国域名系统安全建设已迫在眉睫!为什么会有如此强烈的反应?其原因在于,DNS服务被黑客攻击后,会造成互联网的导航系统全面中断或全面混乱。其结果是无法正常上网,或者网络访问被错误地导向其它服务器。因此DNS服务被攻击后,正常访问被解析到错误的服务器地址,显而易见的故障之一是大面积断网,另一大风险则是被钓鱼网站欺诈。黑客可能将正常网站的域名解析到错误的地址,假如黑客在这个目标地址搭建一个钓鱼网站,网民输入的帐号密码信息就会被盗。
以雅虎事件为例,访问yahoo.com的客户收到ads.yahoo.com推送的广告。调查发现其中部分为恶意广告。这些恶意广告利用的是托管在original-filmsonline.com, funnyboobsonline.org 和 yagerass.org域名上的内置框架。2014年1月1日又新增了两个域名:blistartoncom.org 和slaptonitkons.net。
访问恶意广告时, HTTP(超文本传输协议)会重新指向看似随机的子域名,如:boxsdiscussing.net,crisisreverse.net以及limitingbeyond.net,用户因而被重新指向一个称为“Magnitude”的威胁工具。
所有这些域名都是由一个在荷兰托管的独立IP地址193.169.245.78发送的。
上述威胁工具专门攻击Java漏洞,并安装一系列不同的恶意软件,包括ZeuS, Andromeda 和 Dorkbot/Ngrbot。
恶意软件如何绕开现有安全防护
在这一事件中,几层保护似乎没有起到作用:访问yahoo.com的客户收到ads.yahoo.com提供的广告。其中一些广告是恶意的,带有恶意域名托管的内置框架。Yahoo广告服务器未能识别并拦截来自恶意域名的内置框架的攻击。
访问恶意广告时,用户被重新指向一个上面提到的“Magnitude”威胁工具。然后该工具利用了一系列Java漏洞并绕过浏览器调试工具防护,然后在目标系统上安装了许多不同的恶意软件。由于网站普遍采用Java扩展,因此仍然有相当多的浏览器允许执行来自非信源的Java代码。这一弱点恰恰被黑客所利用。
防病毒软件类的本地监测机制监测到由这一威胁工具安装的复杂恶意软件组合的比率比较低。安装的恶意软件会持续改变其二进制代码,并利用其它隐形技术持续避免被签名授权的本地监测引擎监测到。
同样地,由于恶意软件是由最近注册的域名利用新的内容模式发送的,因此绝大多数防火墙和IDS/IPS无法发现。恶意软件能够在雅虎和/或安全调查人员发现并解决该事件前的短时间内进行大量传播,这说明了该问题的严重性,也暴露了传统防御机制的诟病。
Infoblox如何帮助防御此类攻击
有效避免此类事件发生
Infoblox DNS Firewall恶意数据信息订阅服务此前已识别出恶意IP, 193.169.245.78为恶意网络的一部分,因此在12月30日前,甚至是雅虎和Fox-IT首次发现该恶意软件前,已将其拦截。Infoblox DNS Firewall拦截恶意域名解析到恶意IP,因此保护了访问yahoo.com的目标客户不受恶意软件的攻击。Infoblox DNS Firewall可拦截或重新指向(通常是由IT指向到内部定义的登录网页)解析的DNS查询恶意域名与IP地址。综合起来,Infoblox DNS Firewall可以帮助企业实现以下优势:
• 削减企业的泄密风险(包括合法曝光):Infoblox DNS Firewall是一种打击恶意软件的极佳方式,它为您的企业、您的合作伙伴和您的客户提供了最大程度的保护。
• 最大程度减少在恶意软件的防御和补救方面所耗用的资源:此解决方案在威胁开始蔓延之前就阻止了威胁的轨迹,同时确保识别出所有受感染客户端,甚至包括用户自有的智能手机和平板电脑设备。
• 在您的IT系统和流程中构建防御:设置后,无需手动干预,提供 24x7 全天候防御。各种日志和报告提供了完整的审计跟踪,和适合放入IT任务队列的受感染客户端的列表。
首要目标-避免感染
面向该恶意软件的最佳方案首先是防止受到感染。禁用不必要的浏览器扩展、修复漏洞以及遵循安全规范是最有效的方法。
如有可能,请禁用浏览器上的Java。如果需要Java的某些服务,请将其限制到白名单域名列表中。
保持操作系统、web浏览器以及其他扩展,例如Java和Flash得到完整的补丁,将攻击者可利用的漏洞降至最低,从而保护目标客户。
确保尽快修复(最好是在发布更新程序的1-2天内完成修补工作)(Infoblox公司中国区总经理 王平)
|