标签: DNS

防御 DNS 攻击成本报告:机构 2018 年平均损失 71.5 万美元

根据研究公司 Coleman Parkes 从全球 1000 家机构采样得来的数据,2018 年间,77% 的机构遭受了至少一次基于 DNS 的网络攻击。调查采样的企业,涵盖了活跃于通信、教育、金融、医疗保健、服务、运输、制造、公共、以及零售事业的组织机构。在全球范围五大基于 DNS 的攻击中,恶意软件和网络钓鱼占据了榜单前二的位置;而域名锁定、DNS 隧道与 DDoS 攻击,也造成了极大的影响。 2017~2018 年间,DNS 攻击导致的损失,已增加 57% 。 EfficientIP 在《2018 DNS 威胁报告》中写到:“思科 2016 安全报告发现,91% 的恶意软件利用了解析服务(DNS)。它们壳借助 DNS 这个载体(DoS 放大或 CnC 服务器通信),对目标、甚至 DNS 服务器发起攻击”。 2017 年的时候,网络钓鱼甚至不是最常遇到的五种基于 DNS 的攻击类型。但 2018 年间,欺诈者已经大量通过定向和定制活动,来提升针对特定行业部门的网络钓鱼受害率。 通过分析调查期间收集到的数据,Coleman Parkes 发现:不法分子已将基于 DNS 的攻击,作为一种相当有效的工具,可对其行业目标造成广泛的品牌和财务损失、产生短期和长期的影响。 受 DNS 攻击所影响的组织,平均损失较上一年增加约 57% —— 从 2017 年的 45.6 万美元,到了 2018 年的 71.5 万美元 —— 这一点尤其令人感到不安。 考虑到所有因素,虽然 DNS 攻击从一个行业部门、转到另一个行业部门的影响差异很大。但对所有组织机构来说,部署恰当的 DNS 攻击检测和防护措施,仍然是至关重要的。   稿源:cnBeta,封面源自网络;

Mozilla:云端 DOH 比传统 DNS 更安全 性能差别不大

Mozilla 今年 3 月时,在 Firefox Nightly 版本进行了 DOH(DNS Over HTTPS)与传统 DNS 的比较实验,探讨后者是否能被前者取代,结果显示虽然 DOH 服务平均比传统 DNS 慢6毫秒,但是相比之下,DOH 不止服务更安全,而且在极端情况下,甚至能比传统 DNS 的回应还快几百毫秒。 现在的浏览器用户依赖不够安全的传统 DNS 协议来访问目标网站,可能面临被追踪(Tracking)或是欺骗(Spoofing)等风险。Mozilla 引用了 2018 年 Usenix 安全研讨会的论文,研究显示 DNS 服务现在正受到严重的干扰,而且面临各种资料收集的隐私威胁。Firefox 开发了 DOH 技术,让浏览器从一个或多个可信任的服务中获取 DNS 信息,以提供高安全与高隐私的 DNS 服务。 由于以可信任的 DOH 云端服务取代传统 DNS 是一个剧烈的改变,在选择 DOH 服务器时需要考虑很多因素,因此 Mozilla 对此展开了测试,主要想了解两个问题,第一个,使用 DOH 是否能取代传统 DNS?第二个,使用 DOH 是否会出现额外的连接错误?在 7 月的时候有约 25000 名 Firefox Nightly 63 使用者参与了 Cloudflare 与 Mozilla 共同举行的测试,测试总共收集到了超过十亿条的 DOH 数据,目前测试已结束。 结果显示,与传统 DNS 相比,和云端服务供应商合作使用 HTTPS 发出 DNS 请求,在无缓存的 DNS 查询上,性能影响很小,大多数的查询只慢了约 6 毫秒,但从权衡安全性和保护隐私数据的角度出发,这是可以被接受的成本。而且在某些情况下,甚至能比传统 DNS 还快几百毫秒。 另外,这个测试除了解性能方面的影响,还考虑了连接错误率,在软故障(Soft-fail)模式下使用 DOH 云端服务的用户,和传统 DNS 用户相比,错误连接率并没有明显差异。软故障模式主要使用 DOH,当域名无法正确解析或是 DOH 提供的地址连接失败时,便退回使用传统 DNS。 Mozilla 提到,他们正努力于创造一个可信任的 DOH 供应商生态,以满足较高标准的数据处理需求,后续会在一组供应商中或是依照地理位置划分 DNS 传输,这项试验可能会在不久之后进行。     稿源:开源中国,封面源自网络;

DNS 劫持恶意软件 Roaming Mantis 升级,针对全球 iOS、Android 和桌面用户

据外媒报道, 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器,目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。而目前根据卡巴斯基实验室的安全研究人员的说法,通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本,Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外,尽管最初的袭击旨在针对来自东南亚的用户 ,但目前该新活动已经演变到支持 27 种语言,以扩大在欧洲和中东地区的业务范围。 与之前的版本类似,新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发,攻击者更改无线路由器的 DNS 设置,将流量重定向到由他们控制的恶意网站。因此,当用户试图通过一个被破坏的路由器访问任何网站时,他们都会被重定向到恶意网站,这些网站可用于:提供 Android 用户虚假银行恶意软件;提供 iOS 用户 钓鱼网站;提供桌面用户使用加密货币挖掘脚本的站点。 为了保护免受此类恶意软件的侵害,安全研究人员给出了以下建议: “建议您确保您的路由器运行最新版本的固件并使用强密码保护; 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名,将用户重定向到恶意下载文件,所以建议您在访问站点前确保其启用了 HTTPS; 您还应该禁用路由器的远程管理功能,并将可信的 DNS 服务器硬编码到操作系统网络设置中; 建议 Android 用户从官方商店安装应用程序,并设置禁用安装未知来源的应用程序; 检查您的 Wi-Fi 路由器是否已被入侵,查看您的 DNS 设置并检查 DNS 服务器地址,如果它与您的提供商发布的不符,请将其修正,并立即更改所有帐户密码。” 卡巴斯基实验室分析报告: 《Roaming Mantis dabbles in mining and phishing multilingually》 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间,研究人员在超过 150 个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们稍微进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户,日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的 URL 地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装,这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”,其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接,表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说:“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现,而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机,我们需要提高用户的防范意识,让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段,表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染,卡巴斯基实验室建议采取以下措施: ● 请参阅您的路由器的使用说明,确保您的 DNS 设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源:比特网,封面源自网络;

Google 公布一个 uTorrent 的安全漏洞 官方发布了一个无用补丁

早在 1 月份,Google Project Zero 研究员 Tavis Ormandy 就透露了 BitTorrent 应用程序传输中的一个漏洞,并解释其他客户端也可能存在类似的问题。在本周的一份新报告中,Ormandy 在 uTorrent 中发现了类似的安全漏洞,这是目前最受欢迎的 BitTorrent 客户端之一。 这个问题在 11 月份向 BitTorrent 报告,但就像安全研究人员预测的那样,母公司未能在 90 天窗口中发布补丁,因此本周安全人员将漏洞细节公布在互联网上。 该漏洞存在于 Web 界面中,允许用户远程控制 BitTorrent 客户端,如果被利用,它可能使攻击者能够控制易受攻击的计算机。然而,软件的开发者表示,它已经准备好了一个补丁程序,该补丁程序是最新 beta 版本的一部分,根据 TorrentFreak 的一份报告,它预计将在本周尽快推向稳定渠道。 但事实证明,与 Ormandy 共享的修补程序只覆盖原始漏洞,而不能完全解决漏洞。看起来像 BitTorrent 只是给 uTorrent Web 添加了第二个令牌。这并没有解决 DNS 重新绑定问题。目前,BitTorrent 尚未提供更新的声明,以分享计划发布新补丁程序的方式和时间。 稿源:cnBeta,封面源自网络;

Mac 发现 DNS 恶意劫持软件:偷跑流量篡改网页地址

以苹果为中心的安全研究员Patrick Wardle发表了一篇博客文章,详细解析了他在Mac发现的一个隐形的称为“MaMi”的 DNS 劫持软件,会将流量转移到一些你不曾访问的恶意网站。Wardle还发现这个恶意软件还具有尚未激活的功能:可以窃取密码,截图,下载文件和程序,运行其他软件并注入虚假安全证书等等。 他推测这个恶意劫持软件和这几年发现的Mac恶意软件一样,是需要用户同意授权的,制作者往往会利用一些诱导性的按钮让用户在不知不觉中招,例如确认Flash Player更新等等,但是目前仅仅能猜测它的攻击方式,还不知道“MaMi”是如何感染Mac的。 目前尚不清楚“MaMi”究竟影响了多少Mac,如果你想要查看自己的Mac是否中毒,请打开系统偏好设置,点击网络,然后检查DNS服务器的IP地址。 如果它是“82.163.143.135”或“82.163.142.137”,那么你的Mac就有极有可能是被该软件感染后更改的,你需要将其改为良性的IP地址,比如Google的8.8.8.8或8.8.4.4或OpenDNS的208.67.2222.222或208.67.220.220来防止流量偷跑,然后使用杀毒软件彻底清查一遍电脑。 稿源:cnBeta、快科技,封面源自网络

IBM 推出 Quad9 公共 DNS 服务(9.9.9.9),将屏蔽僵尸网络等网络主机关联域名

IBM 、Global Cyber Alliance 和 Packet Clearing House 合作推出了免费的 Quad9 公共 DNS 服务(9.9.9.9),它将会屏蔽与僵尸网络、钓鱼攻击和其它恶意主机相关联的域名。 Quad9 的工作与其它免费的公共 DNS 相似,但不会返回已识别为恶意的域名解析。测试显示,Quad9 相比 Google 的 公共 DNS 服务 8.8.8.8,其响应延迟时间更长,但 Quad9 项目成员表示通过缓存和增加节点将有助于减少延迟。GCA 的 Phil Rettinger 称,Quad9 注重隐私保护,不会记录发出请求的地址,只保存地理位置数据,目的是为了跟踪特定恶意域名相关的请求。 稿源:Solidot,封面源自网络;

终端应用程序 iTerm2 可通过 DNS 请求泄露用户敏感信息

iTerm2 是一款颇受 Mac 开发人员欢迎的终端应用程序,甚至取代了苹果官方终端应用的地位。然而,研究人员首次于去年在 iTerm2  3.0.0 版本中发现一处鼠标悬停漏洞,即当用户将鼠标悬停在 iTerm2 终端的任何内容时,该程序将尝试确定字段是否存在有效 URL,并将其作为可点击链接突出显示。此外,为避免使用不准确的字符串模式匹配算法、创建不可用链接,该功能还使用了 DNS 请求确定域名是否真实存在。随后,iTerm2 开发人员立即升级应用至 3.0.13 版本,允许用户自行关闭 “ DNS 查询 ” 功能。不过,系统在默认情况下仍开启该功能权限。 9 月 19 日,HackerNews.cc 得到消息,荷兰开发人员 Peter van Dijk 指出,iTerm2 鼠标悬停漏洞除此前出现的问题外,还包括通过 DNS 请求泄露用户账号、密码、API 密钥等敏感信息。DNS 请求是明文通信,意味着任何能够拦截这些请求的用户都可访问 iTerm 终端中经过鼠标悬停的所有数据。 这一次,iTerm2 开发人员在了解问题的严重程度后深表歉意,并立即发布 iTerm2 3.1.1 版本解决问题。目前,研究人员提醒使用 iTerm2 旧版本的用户更新至最新版本,以确保自身隐私安全。如果用户更新至3.0.13 版本时,可通过相关步骤修改选项、确保系统安全。即打开 “ Preferences ⋙ Advanced ⋙ Semantic History ” 后将 “ Perform DNS lookups to check if URLs are valid? ” 选项改为 “ NO ” 。 原作者:Catalin Cimpanu,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。