尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
受影響的組織包括中東,北非,歐洲和北美的電信,ISP,互聯網基礎設施提供商,政府和敏感商業實體。
FireEye分析師認為,一個伊朗組織支持這一攻擊,盡管目前還沒有確切歸屬的明確證據。FireEye提供了對這些攻擊的見解,這些攻擊自2017年1月以來一直在發生。
該報告背後的FireEye分析師將此活動在Twitter上的範圍和影響描述為「 巨大的」。
像大多數網路間諜組織一樣,攻擊者不僅僅是長矛釣魚者收集電子郵件憑據,而是修改了公司IT資源的DNS記錄,以重塑組織內部的互聯網流量並劫持他們想要的部分。
FireEye表示,它確定了三種不同的技術用於這些攻擊,每種技術都與下一次一樣複雜:
技巧1:攻擊者更改受害者郵件服務器的DNS記錄,將其重定向到自己的電子郵件服務器。攻擊者還使用Let的加密證書來支持HTTPS流量,並使用負載均衡器將受害者從他們的影子服務器上的受害者收集登錄憑據後重定向回真實的電子郵件服務器。
技術2:與第一個相同,但不同之處在於公司的合法DNS記錄正在被修改。在第一種技術中,攻擊者通過托管DNS提供商的帳戶更改了DNS A記錄,而在此技術中,攻擊者通過TLD(域名)提供商帳戶更改了DNS NS記錄。
技術3:有時也作為前兩種技術的一部分進行部署。這依賴於部署「攻擊者操作盒」,該「響應操作盒」響應對被劫持的DNS記錄的DNS請求。如果DNS請求(對於公司的郵件服務器)來自公司內部,則用戶被重定向到攻擊者操作的惡意服務器,但如果請求來自公司外部,則請求被定向到真實的電子郵件服務器。
所有這些攻擊都依賴於攻擊者改變公司DNS記錄的能力,公司內部很少有人能夠做到這一點。
這通常需要訪問域名註冊商,提供托管DNS服務的公司或公司可能正在運行的內部DNS服務器上的帳戶。
「雖然改變DNS記錄的確切機制尚不清楚,但我們認為至少有一些記錄是通過破壞受害者的域名註冊商帳戶而改變的,」FireEye說,並澄清其對此全球黑客攻擊活動的調查仍在進行中。
這家美國網路安全公司還指出,這類攻擊很難防范,因為攻擊者在大多數情況下都沒有訪問公司的內部網路,也不太可能通過本地安全軟件觸發警報。
增強企業安全性的措施
1.在我們的域名管理界面中啟用多因素身份驗證功能;
2.驗證A記錄和NS記錄的修改有效性;
3.搜尋跟自己域名相關的SSL證書,吊銷所有的惡意證書;
4.驗證OWA/Exchanges日志中的IP源地址;
5.對環境中的所有訪問權限進行安全審計。
目前HTTPS是現行網路架構下最安全的解決方案。基於SSL加密層,用戶可以將網站由HTTP切換到HTTPS,從而保證網路數據傳輸的安全。有了HTTPS加密,可以防止網站流量劫持,保護用戶隱私,還可以保障企業的利益不受損害。為用戶隱私保駕護航,將網路攻擊風險扼殺在搖籃。
建議企業趕快向數安時代申請權威可信SSL證書吧!提升網站安全防護能力,保護用戶的數據安全。數安時代是全國三家經過WEBTRUST國際認證CA機構的其中一家,擁有15年豐富的行業經驗和專業的7*24小時一對一技術支持團隊,隨時為您解決難題。如果對部署SSL證書或者對HTTPS有什麼疑惑可以隨時到官網咨詢客服。