今天分享的论文主题为DNS基础设施劫持,由来自加州大学圣迭戈分校、特温特大学以及斯坦福大学的研究人员共同完成。该论文首次尝试追溯性地识别对DNS基础设施的劫持,作者结合一系列来自互联网范围内的扫描、passive DNS记录和证书透明度日志等数据,构建了一种方法来识别DNS基础设施劫持的潜在受害者,并利用它检测出了一系列过去的真实受害者。该论文发表于国际网络测量领域顶级会议ACM IMC 2022。
全文共3000字,阅读时间约9分钟。
01
【研究背景】
-
将远程登录人员的流量劫持到攻击者控制的服务器上
-
绕过防止流量劫持的加密保护,例如DNSSEC或TLS
我们从凭证窃取攻击开始说起。假设攻击者想要窃取某个组织内部员工的用户名和密码,通常会有两种技术路线。大多数情况下,攻击者选择通过网络钓鱼等机会主义的方法,但这样的攻击手段可能触发警告或者留下日志等痕迹,存在一定风险。而另一种方法是通过实时的流量劫持,从流量中秘密获取远程登录人员正在使用的凭证。为了实施这类攻击,攻击者需要解决两个问题:
本文所讨论的DNS基础设施劫持——也就是通过某种方式获得域名的控制权,进而篡改域名的DNS配置——就可以达到上述目的。例如,通过操纵目标域名的DNS配置,攻击者可以暂时劫持一个域名的流量,并通过CA的域名验证检查从而获得TLS证书。在此基础上,攻击者可以在他们选择的时间劫持特定子域的流量,然后就可以在用户与这些服务交互时提取这些用户凭证。
事实上,此类劫持攻击在现实中可能并不罕见:2019年美国国土安全部发布了关于DNS基础设施被篡改的紧急警告;最近几个大型安全公司也报告了这种现象,用于攻击政府机构和大型基础设施供应商[1,2]。针对这种威胁和受害者的现有研究非常有限,本文以追溯性的方式探索了这个问题,构建了一种方法用于确定可能以这种方式被劫持的域名。
02
【研究方法】
-
1. 为每个域名构建部署分布图,建立域名和IP、TLS证书等基础设施之间的历史关联关系。
-
2. 使用分布图中的模式来列出潜在可疑部署的域名。
-
3. 使用启发式方法缩小候选劫持集合。
-
4. 使用补充数据手动检查候选劫持集合,以确定哪些可疑部署确实存在劫持。
-
5. 最后,将检测出的被劫持域名和其他域名进一步对比分析,重点检查它们是否使用相同的攻击者基础设施。
作者的主要思路是:识别攻击者为冒充域名而建立的基础设施,比追踪反映域名被劫持的DNS配置变化要可行得多。一旦攻击者建立了他们的基础设施并成功攻击,由攻击者控制的一个合法TLS证书就会出现在全球IPv4基础设施扫描中。
基于这个思路,作者通过发现攻击者用于目标域名的基础设施来识别劫持行为。方法由五个步骤组成,如图表 1 所示:
图表 1:识别劫持行为方法的主要步骤
1. 构建部署分布图
这一步的目标是对部署聚类从而揭示可疑的基础设施。在这一步,将纵向的互联网扫描结果作为输入,从响应主机中检索TLS证书,以输出部署分布图。这些分布图描述了互联网基础设施在何时何地为某个域名提供了服务。作者使用了CUIDS数据集[3],其中包含2017年1月至2021年3月超过7100万个IP地址的记录。从这个数据集出发,作者进一步使用了AS、地理位置、SANs[4]、是否受浏览器信任等信息做注释。例如,图表2展示了2019年4月对域名kyvernisi.gr的四次扫描结果,包括域名指向的IP地址、位置分布、使用的TLS证书等信息。
图表 2:扫描注释数据示例
作者将一个域名的属于相同ASN的可观察基础设施聚类到一个部署组(deployment group)中。在一段时间内纵向看到的部署组称为部署(deployment),一个域名的所有部署一起表示该域名的部署分布图(deployment map)。例如,表1中2019年4月23日对kyvernisi.gr扫描的两行有两个不同ASN(20473和35506)中的IP地址,并分别返回了证书。它们都在这一天组成了自己的部署组。因此,在2019年4月期间,kyvernisi.gr域名有两个部署,它们一起组成了它的部署分布图,如图表 3 所示。
图表 3:域名kyvernisi.gr在2019年4月的部署分布图
根据四年的CUIDS扫描数据,作者为超过两千二百万(22M)个域名构建了部署分布图。
2. 识别可疑模式
这一步是为了从位置和时间上识别临时部署的攻击者基础设施。作者把通过纵向Internet扫描构建的部署分布图作为输入,然后将它们分类为三种模式:稳定模式、转变模式和临时模式。前两种模式对应于良性部署,第三种模式用于捕获可疑部署。
1)稳定模式
图表 4 中的模式表示良性的稳定部署分布图。大多数域名都属于这一类:22M域名中的21.25M(96.5%)是稳定的。在这些模式中,域名都一致地使用了相同的AS,基础设施随时间没有发生明显的迁移,只在与域名关联的证书(S2, S4)和IP地址所处的国家(S3)等方面有微小的变化。
图表 4:稳定模式的部署分布图类型
虽然大多数域名在短时间内具有稳定的部署,但在较长时间内,与域名关联的基础设施可能会由于各种合理的原因更改部署。在图表 5 中的模式中,基础设施发生了重大的变化,但是随着时间的推移,变化是稳定的,并且在部署分布图中转变为新的部署。图中的前两个模式反映了域名部署的扩展,域名所有者可以将他们的基础设施扩展到一个新的AS(X1),甚至可能与新的提供者使用额外的证书(X2),第三种模式反映了向不同AS中的全新基础设施的转变。650K(2.95%)个域名属于转换模式。
图表 5:转换模式的部署分布图类型
第三类模式反映了部署分布图中的临时变化,28K(0.13%)个部署分布图属于这一类。由于攻击者为劫持流量而创建的基础设施(IP主机、TLS证书等)具有显著的临时性,作者选择三个月作为区分临时模式变化和转变模式变化的时间阈值。其中,作者认为IP主机位置和证书同时存在临时变化(即图表3中的T1模式)更可能是恶意活动。而对于证书没有变动的临时部署(即图标3中的T2模式),这种模式通常表明域名所有者在基础设施中进行的合法扩展,但也可以反映恶意活动(例如劫持攻击的前置步骤,攻击者设置一套平行的基础设施),因此也需要进行手动评估。
图表 6:转换模式的部署分布图类型
这个阶段的目标是缩小候选劫持集合。在此阶段,作者使用标识为临时模式的部署分布图作为输入,然后使用一组启发式方法来删除误报或不确定结果的常见情况,从而列出真正可疑的临时部署。
最终的候选集包含由不同的ASN发起的、位于不同国家(相对于稳定部署)的临时部署,这些部署要么影响敏感域名,要么代表罕见的异常事件。在应用这些启发式方法之后,作者将8143个域名列为可疑域名。其中,有47个域名被列为真正异常的域名,这些域名在临时部署之前和之后有六个月的稳定部署。
这一步的目标是手动检查候选的可疑临时部署,从而找到发生劫持的证据。作者将入围的部署分布图、pDNS数据和证书透明度(CT)数据集作为输入,以评估域名是否被劫持。在这个阶段,作者检查了8143个域名。
作者首先将这些域名与pDNS和CT数据交叉比对。基于这种交叉比对,作者发现8143个候选域名中只有1256个值得手动检查。对于匹配模式T1的域名,如果可疑的证书是在权威服务器变更或域名解析的变化时签发的,那么认为这个证书是恶意获取的。作者找到了22个符合这些条件的域名。对于匹配模式T2的域名,首先检查pDNS是否捕获了目标子域名的DNS解析变化或域名服务器委托的变化。然后检查CT日志,以确定在观察到临时部署的同一时间段内是否签发了新的证书。如果两者都存在,则认为该证书的获得是可疑的。作者发现有6个域名符合这个标准。
在这些域名中,只有当出现这些pDNS和CT数据的变化时,作者才认为有确凿的证据说明域名被劫持。在缺乏确证的情况下,作者将该域名标记为被作为目标,但未被劫持。如果攻击不成功或者没有任何数据源捕获到攻击,就会出现这种情况。在候选异常域名中,作者证明了有24个域名以这种方式被作为目标。
5. 进一步扩展分析
这一步的目标是利用标识为被劫持的域名来寻找其他劫持。在此阶段,作者使用pDNS数据和用于目标域名的攻击者基础设施作为输入,以查找同一攻击者基础设施针对的其他域名。使用从手动检查中识别出的28个被劫持域名的攻击者基础设施,作者重点识别引用了相同域名服务器代理或在pDNS日志中解析了相同IP地址的其他域名,这一步确定了另外13个域名。
03
【研究结果】
作者将方法应用在了2017年1月至2021年3月的历史数据,确定了41个被劫持的域名和24个被作为目标的域名。
为了具体说明本文提出方法的结果,作者首先描述了如何使用部署分布图来识别吉尔吉斯斯坦的一组相关被劫持的域名。然后作者讨论了全部41个被劫持域名的总体特征、独立的验证来源以及劫持的纵向影响等。在这两部分的讨论中,部署分布图都表现出了:有分布在不同AS和国家的临时部署;临时部署返回了一个针对特定敏感子域的可疑新颁发的证书;从pDNS中的解析中发现了对权威服务器的短期更改,这些更改将流量短暂地重定向到临时部署中的基础设施。
随后,作者描述了24个被作为目标但是没有观察到劫持的域名的特征,其中许多域名显示攻击者的基础设施被重复使用。作者还讨论了受影响的目标组织的趋势,这些组织包括政府部门、政府组织、基础设施提供商,甚至一些私人公司,其中与政府相关的域名最多,这表明攻击者背后的动机和攻击风格与国家有关。最后,作者还分析了攻击者使用的基础设施的特征。
—
原文链接
https://dl.acm.org/doi/pdf/10.1145/3517745.3561425
参考文献
[1] Danny Adamitis, David Maynor, Warren Mercer, Matthew Olney, and Paul Rascagneres. 2019. DNS Hijacking Abuses Trust In Core Internet Service. https://blog.talosintelligence.com/2019/04/seaturtle.html.
[2] Matt Dahl. 2019. Widespread DNS Hijacking Activity Targets Multiple Sectors. https://www.crowdstrike.com/blog/widespread-dns- hijacking-activity-targetsmultiple-sectors/.
[3] Censys. 2021. Censys Bulk Data Access. https://censys.io/data.
[4] Eric Rescorla. 2000. HTTP Over TLS. RFC 2818. https://doi.org/10.17487/RFC2818 https://rfc-editor.org/rfc/rfc2818.txt.
[5] Cisco Talos. 2019. Sea Turtle keeps on swimming, finds new victims, DNS hijacking techniques. https://blog.talosintelligence.com/2019/07/sea-turtlekeeps-on-swimming.html
编辑&审校 | 陆超逸
原文始发于微信公众号(NISL实验室):【论文分享】DNS基础设施劫持的追溯识别
