據(jù)新浪科技報道：1月21日下午3點，全國所有通用頂級域的根服務(wù)器出現(xiàn)異常，導(dǎo)致國內(nèi)大部分用戶無法正確解析域名，對全國互聯(lián)網(wǎng)鏈接造成系統(tǒng)性影響。據(jù)360安全衛(wèi)士官方微博透露，經(jīng)360網(wǎng)站衛(wèi)士測試發(fā)現(xiàn)，很多網(wǎng)站被解析到65.49.2.178，原因在于國際節(jié)點出現(xiàn)故障，國內(nèi)三分之二DNS處于癱瘓狀態(tài)。

另據(jù)雅虎報告：2014年1月3日，雅虎廣告系統(tǒng)及其所有客戶遭受了惡意軟件注入攻擊事件的影響。調(diào)查顯示，惡意廣告在2013年12月30日至2014年1月3日間發(fā)起攻擊。在此期間，訪問yahoo.com網(wǎng)站的用戶受到了惡意廣告的攻擊，其通過受攻擊者瀏覽器的Java擴展對其系統(tǒng)安裝惡意軟件而發(fā)起攻擊。該惡意軟件通過雅虎的廣告服務(wù)器短時間內(nèi)攻擊了大量客戶。據(jù)估計，裝有惡意代碼的網(wǎng)站每小時大約被訪問300,000次，估計每小時大約造成27,000次感染。 據(jù)報道，英國、法國和羅馬尼亞是本次受攻擊最嚴(yán)重的國家，原因可能是由雅虎的惡意廣告配置造成。

一個國內(nèi)，一個國外，近期頻繁發(fā)生的重大互聯(lián)網(wǎng)安全事件，似乎都指向同一關(guān)鍵詞DNS。這個以前幾乎無人關(guān)注的領(lǐng)域，一時間成了最熱門的話題，國內(nèi)行業(yè)專家不禁驚呼，中國域名系統(tǒng)安全建設(shè)已迫在眉睫!為什么會有如此強烈的反應(yīng)？其原因在于，DNS服務(wù)被黑客攻擊后，會造成互聯(lián)網(wǎng)的導(dǎo)航系統(tǒng)全面中斷或全面混亂。其結(jié)果是無法正常上網(wǎng)，或者網(wǎng)絡(luò)訪問被錯誤地導(dǎo)向其它服務(wù)器。因此DNS服務(wù)被攻擊后，正常訪問被解析到錯誤的服務(wù)器地址，顯而易見的故障之一是大面積斷網(wǎng)，另一大風(fēng)險則是被釣魚網(wǎng)站欺詐。黑客可能將正常網(wǎng)站的域名解析到錯誤的地址，假如黑客在這個目標(biāo)地址搭建一個釣魚網(wǎng)站，網(wǎng)民輸入的帳號密碼信息就會被盜。

以雅虎事件為例，訪問yahoo.com的客戶收到ads.yahoo.com推送的廣告。調(diào)查發(fā)現(xiàn)其中部分為惡意廣告。這些惡意廣告利用的是托管在original-filmsonline.com, funnyboobsonline.org 和 yagerass.org域名上的內(nèi)置框架。2014年1月1日又新增了兩個域名：blistartoncom.org 和slaptonitkons.net。

訪問惡意廣告時， HTTP（超文本傳輸協(xié)議）會重新指向看似隨機的子域名，如：boxsdiscussing.net，crisisreverse.net以及l(fā)imitingbeyond.net，用戶因而被重新指向一個稱為“Magnitude”的威脅工具。

所有這些域名都是由一個在荷蘭托管的獨立IP地址193.169.245.78發(fā)送的。

上述威脅工具專門攻擊Java漏洞，并安裝一系列不同的惡意軟件，包括ZeuS, Andromeda 和 Dorkbot/Ngrbot。

惡意軟件如何繞開現(xiàn)有安全防護

在這一事件中，幾層保護似乎沒有起到作用：訪問yahoo.com的客戶收到ads.yahoo.com提供的廣告。其中一些廣告是惡意的，帶有惡意域名托管的內(nèi)置框架。Yahoo廣告服務(wù)器未能識別并攔截來自惡意域名的內(nèi)置框架的攻擊。

訪問惡意廣告時，用戶被重新指向一個上面提到的“Magnitude”威脅工具。然后該工具利用了一系列Java漏洞并繞過瀏覽器調(diào)試工具防護，然后在目標(biāo)系統(tǒng)上安裝了許多不同的惡意軟件。由于網(wǎng)站普遍采用Java擴展，因此仍然有相當(dāng)多的瀏覽器允許執(zhí)行來自非信源的Java代碼。這一弱點恰恰被黑客所利用。

防病毒軟件類的本地監(jiān)測機制監(jiān)測到由這一威脅工具安裝的復(fù)雜惡意軟件組合的比率比較低。安裝的惡意軟件會持續(xù)改變其二進制代碼，并利用其它隱形技術(shù)持續(xù)避免被簽名授權(quán)的本地監(jiān)測引擎監(jiān)測到。

同樣地，由于惡意軟件是由最近注冊的域名利用新的內(nèi)容模式發(fā)送的，因此絕大多數(shù)防火墻和IDS/IPS無法發(fā)現(xiàn)。惡意軟件能夠在雅虎和/或安全調(diào)查人員發(fā)現(xiàn)并解決該事件前的短時間內(nèi)進行大量傳播，這說明了該問題的嚴(yán)重性，也暴露了傳統(tǒng)防御機制的詬病。

Infoblox如何幫助防御此類攻擊

有效避免此類事件發(fā)生

Infoblox DNS Firewall惡意數(shù)據(jù)信息訂閱服務(wù)此前已識別出惡意IP, 193.169.245.78為惡意網(wǎng)絡(luò)的一部分，因此在12月30日前，甚至是雅虎和Fox-IT首次發(fā)現(xiàn)該惡意軟件前，已將其攔截。Infoblox DNS Firewall攔截惡意域名解析到惡意IP，因此保護了訪問yahoo.com的目標(biāo)客戶不受惡意軟件的攻擊。Infoblox DNS Firewall可攔截或重新指向（通常是由IT指向到內(nèi)部定義的登錄網(wǎng)頁）解析的DNS查詢惡意域名與IP地址。綜合起來，Infoblox DNS Firewall可以幫助企業(yè)實現(xiàn)以下優(yōu)勢：

•削減企業(yè)的泄密風(fēng)險（包括合法曝光）：Infoblox DNS Firewall是一種打擊惡意軟件的極佳方式，它為您的企業(yè)、您的合作伙伴和您的客戶提供了最大程度的保護。

•最大程度減少在惡意軟件的防御和補救方面所耗用的資源：此解決方案在威脅開始蔓延之前就阻止了威脅的軌跡，同時確保識別出所有受感染客戶端，甚至包括用戶自有的智能手機和平板電腦設(shè)備。

•在您的IT系統(tǒng)和流程中構(gòu)建防御：設(shè)置后，無需手動干預(yù)，提供 24x7 全天候防御。各種日志和報告提供了完整的審計跟蹤，和適合放入IT任務(wù)隊列的受感染客戶端的列表。

首要目標(biāo)-避免感染

面向該惡意軟件的最佳方案首先是防止受到感染。禁用不必要的瀏覽器擴展、修復(fù)漏洞以及遵循安全規(guī)范是最有效的方法。

如有可能，請禁用瀏覽器上的Java。如果需要Java的某些服務(wù)，請將其限制到白名單域名列表中。

保持操作系統(tǒng)、web瀏覽器以及其他擴展，例如Java和Flash得到完整的補丁，將攻擊者可利用的漏洞降至最低，從而保護目標(biāo)客戶。

確保盡快修復(fù)（最好是在發(fā)布更新程序的1-2天內(nèi)完成修補工作）

注：作者王平現(xiàn)為Infoblox公司中國區(qū)總經(jīng)理。

標(biāo)簽： dns dns查詢 dns服務(wù) 安全 代碼 防火墻 服務(wù)器 服務(wù)器地址 根服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 解析域名 漏洞 企業(yè) 全國互聯(lián)網(wǎng) 網(wǎng)絡(luò) 網(wǎng)站 問題 行業(yè) 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。