據(jù)新浪科技報(bào)道：1月21日下午3點(diǎn)，全國(guó)所有通用頂級(jí)域的根服務(wù)器出現(xiàn)異常，導(dǎo)致國(guó)內(nèi)大部分用戶無(wú)法正確解析域名，對(duì)全國(guó)互聯(lián)網(wǎng)鏈接造成系統(tǒng)性影響。據(jù)360安全衛(wèi)士官方微博透露，經(jīng)360網(wǎng)站衛(wèi)士測(cè)試發(fā)現(xiàn)，很多網(wǎng)站被解析到65.49.2.178，原因在于國(guó)際節(jié)點(diǎn)出現(xiàn)故障，國(guó)內(nèi)三分之二DNS處于癱瘓狀態(tài)。

另?yè)?jù)雅虎報(bào)告：2014年1月3日，雅虎廣告系統(tǒng)及其所有客戶遭受了惡意軟件注入攻擊事件的影響。調(diào)查顯示，惡意廣告在2013年12月30日至2014年1月3日間發(fā)起攻擊。在此期間，訪問yahoo.com網(wǎng)站的用戶受到了惡意廣告的攻擊，其通過受攻擊者瀏覽器的Java擴(kuò)展對(duì)其系統(tǒng)安裝惡意軟件而發(fā)起攻擊。該惡意軟件通過雅虎的廣告服務(wù)器短時(shí)間內(nèi)攻擊了大量客戶。據(jù)估計(jì)，裝有惡意代碼的網(wǎng)站每小時(shí)大約被訪問300,000次，估計(jì)每小時(shí)大約造成27,000次感染。 據(jù)報(bào)道，英國(guó)、法國(guó)和羅馬尼亞是本次受攻擊最嚴(yán)重的國(guó)家，原因可能是由雅虎的惡意廣告配置造成。

一個(gè)國(guó)內(nèi)，一個(gè)國(guó)外，近期頻繁發(fā)生的重大互聯(lián)網(wǎng)安全事件，似乎都指向同一關(guān)鍵詞DNS。這個(gè)以前幾乎無(wú)人關(guān)注的領(lǐng)域，一時(shí)間成了最熱門的話題，國(guó)內(nèi)行業(yè)專家不禁驚呼，中國(guó)域名系統(tǒng)安全建設(shè)已迫在眉睫!為什么會(huì)有如此強(qiáng)烈的反應(yīng)？其原因在于，DNS服務(wù)被黑客攻擊后，會(huì)造成互聯(lián)網(wǎng)的導(dǎo)航系統(tǒng)全面中斷或全面混亂。其結(jié)果是無(wú)法正常上網(wǎng)，或者網(wǎng)絡(luò)訪問被錯(cuò)誤地導(dǎo)向其它服務(wù)器。因此DNS服務(wù)被攻擊后，正常訪問被解析到錯(cuò)誤的服務(wù)器地址，顯而易見的故障之一是大面積斷網(wǎng)，另一大風(fēng)險(xiǎn)則是被釣魚網(wǎng)站欺詐。黑客可能將正常網(wǎng)站的域名解析到錯(cuò)誤的地址，假如黑客在這個(gè)目標(biāo)地址搭建一個(gè)釣魚網(wǎng)站，網(wǎng)民輸入的帳號(hào)密碼信息就會(huì)被盜。

以雅虎事件為例，訪問yahoo.com的客戶收到ads.yahoo.com推送的廣告。調(diào)查發(fā)現(xiàn)其中部分為惡意廣告。這些惡意廣告利用的是托管在original-filmsonline.com, funnyboobsonline.org 和 yagerass.org域名上的內(nèi)置框架。2014年1月1日又新增了兩個(gè)域名：blistartoncom.org 和slaptonitkons.net。

訪問惡意廣告時(shí)， HTTP（超文本傳輸協(xié)議）會(huì)重新指向看似隨機(jī)的子域名，如：boxsdiscussing.net，crisisreverse.net以及l(fā)imitingbeyond.net，用戶因而被重新指向一個(gè)稱為“Magnitude”的威脅工具。

所有這些域名都是由一個(gè)在荷蘭托管的獨(dú)立IP地址193.169.245.78發(fā)送的。

上述威脅工具專門攻擊Java漏洞，并安裝一系列不同的惡意軟件，包括ZeuS, Andromeda 和 Dorkbot/Ngrbot。

惡意軟件如何繞開現(xiàn)有安全防護(hù)

在這一事件中，幾層保護(hù)似乎沒有起到作用：訪問yahoo.com的客戶收到ads.yahoo.com提供的廣告。其中一些廣告是惡意的，帶有惡意域名托管的內(nèi)置框架。Yahoo廣告服務(wù)器未能識(shí)別并攔截來(lái)自惡意域名的內(nèi)置框架的攻擊。

訪問惡意廣告時(shí)，用戶被重新指向一個(gè)上面提到的“Magnitude”威脅工具。然后該工具利用了一系列Java漏洞并繞過瀏覽器調(diào)試工具防護(hù)，然后在目標(biāo)系統(tǒng)上安裝了許多不同的惡意軟件。由于網(wǎng)站普遍采用Java擴(kuò)展，因此仍然有相當(dāng)多的瀏覽器允許執(zhí)行來(lái)自非信源的Java代碼。這一弱點(diǎn)恰恰被黑客所利用。

防病毒軟件類的本地監(jiān)測(cè)機(jī)制監(jiān)測(cè)到由這一威脅工具安裝的復(fù)雜惡意軟件組合的比率比較低。安裝的惡意軟件會(huì)持續(xù)改變其二進(jìn)制代碼，并利用其它隱形技術(shù)持續(xù)避免被簽名授權(quán)的本地監(jiān)測(cè)引擎監(jiān)測(cè)到。

同樣地，由于惡意軟件是由最近注冊(cè)的域名利用新的內(nèi)容模式發(fā)送的，因此絕大多數(shù)防火墻和IDS/IPS無(wú)法發(fā)現(xiàn)。惡意軟件能夠在雅虎和/或安全調(diào)查人員發(fā)現(xiàn)并解決該事件前的短時(shí)間內(nèi)進(jìn)行大量傳播，這說(shuō)明了該問題的嚴(yán)重性，也暴露了傳統(tǒng)防御機(jī)制的詬病。

Infoblox如何幫助防御此類攻擊

有效避免此類事件發(fā)生

Infoblox DNS Firewall惡意數(shù)據(jù)信息訂閱服務(wù)此前已識(shí)別出惡意IP, 193.169.245.78為惡意網(wǎng)絡(luò)的一部分，因此在12月30日前，甚至是雅虎和Fox-IT首次發(fā)現(xiàn)該惡意軟件前，已將其攔截。Infoblox DNS Firewall攔截惡意域名解析到惡意IP，因此保護(hù)了訪問yahoo.com的目標(biāo)客戶不受惡意軟件的攻擊。Infoblox DNS Firewall可攔截或重新指向（通常是由IT指向到內(nèi)部定義的登錄網(wǎng)頁(yè)）解析的DNS查詢惡意域名與IP地址。綜合起來(lái)，Infoblox DNS Firewall可以幫助企業(yè)實(shí)現(xiàn)以下優(yōu)勢(shì)：

•削減企業(yè)的泄密風(fēng)險(xiǎn)（包括合法曝光）：Infoblox DNS Firewall是一種打擊惡意軟件的極佳方式，它為您的企業(yè)、您的合作伙伴和您的客戶提供了最大程度的保護(hù)。

•最大程度減少在惡意軟件的防御和補(bǔ)救方面所耗用的資源：此解決方案在威脅開始蔓延之前就阻止了威脅的軌跡，同時(shí)確保識(shí)別出所有受感染客戶端，甚至包括用戶自有的智能手機(jī)和平板電腦設(shè)備。

•在您的IT系統(tǒng)和流程中構(gòu)建防御：設(shè)置后，無(wú)需手動(dòng)干預(yù)，提供 24x7 全天候防御。各種日志和報(bào)告提供了完整的審計(jì)跟蹤，和適合放入IT任務(wù)隊(duì)列的受感染客戶端的列表。

首要目標(biāo)-避免感染

面向該惡意軟件的最佳方案首先是防止受到感染。禁用不必要的瀏覽器擴(kuò)展、修復(fù)漏洞以及遵循安全規(guī)范是最有效的方法。

如有可能，請(qǐng)禁用瀏覽器上的Java。如果需要Java的某些服務(wù)，請(qǐng)將其限制到白名單域名列表中。

保持操作系統(tǒng)、web瀏覽器以及其他擴(kuò)展，例如Java和Flash得到完整的補(bǔ)丁，將攻擊者可利用的漏洞降至最低，從而保護(hù)目標(biāo)客戶。

確保盡快修復(fù)（最好是在發(fā)布更新程序的1-2天內(nèi)完成修補(bǔ)工作）

注：作者王平現(xiàn)為Infoblox公司中國(guó)區(qū)總經(jīng)理。

標(biāo)簽： dns dns查詢 dns服務(wù) 安全 代碼 防火墻 服務(wù)器 服務(wù)器地址 根服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 解析域名 漏洞 企業(yè) 全國(guó)互聯(lián)網(wǎng) 網(wǎng)絡(luò) 網(wǎng)站 問題 行業(yè) 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。