作者：Ben April（資深威脅研究員）

最近針對紐約時報、Twitter和其他人的DNS相關攻擊，其實並不是因為DNS本身的漏洞所造成。而是因為網域註冊商基礎設施的漏洞而產生。與此事件相關的DNS組件只是做好所設計所該有的事情。

雖然惡意指令並沒有經過認證是事實，但它們是照著正確的管道。證據指向了敘利亞電子軍，不過調查仍在進行中。

追查源頭是因為一家墨爾本IT（網域註冊商）的憑證被入侵。（請告訴我他們的密碼並不是用未加料的 MD5 雜湊值儲存，拜託？）從那裡，攻擊者改變受害者網域的名稱伺服器設定到他們自己的惡意基礎設施。DNS 接著接手，當暫存開始過期，新的「假」資料開始在DNS回覆時更換正常的資料。

那麼，受害者可以做些什麼來防止或減少這類攻擊的影響？
讓我們來看看基本知識：

• DNSSEC。
  DNSSEC可以有幫助，如果被竊憑證不足以讓攻擊者改變目標網域的DNSSEC設定。不然攻擊者可以替換或刪除DNSSEC設定以進行攻擊。
• Domain-Locking（網域鎖定）。
  同樣地，這可以防止變更，如果被竊憑證不能禁用鎖定功能。事實上，twitter.com並未被影響，而是Twitter的部分功能性網域被影響，代表這可能是個方法。還應該注意的是，根據網域註冊商的不同，網域鎖定可能需要額外收費。
• 網域監控。
  對於知名網域來說是個很好的做法。像是名稱伺服器的設定應該會不常變更，所以足以用來觸發警報。有許多商業化的監控服務可供選擇，你也可以考慮利用簡單的腳本程式來做到。請注意，我並不知道這些受影響的公司是否有進行類似的監控。它不能阻止這類事件發生，但可以縮短復原時間。
• 根據安全狀態來小心地選擇供應商。
  這很難馬上做到。安全狀態差的廠商不會宣傳此一事實。安全狀態佳的廠商可能因為有著良好的運作安全而不願意分享他們基礎設施的細節，以免攻擊者獲得這些防禦的配置圖。

我們可以從這些攻擊裡所學到的一件事是，真正專注的攻擊會想辦法去搜尋我們的聯絡人、對口單位、供應商和客戶以找出最弱的一環，取得進入點。

＠原文出處：NYT/Twitter Hacks Show DNS Is Not Broken, But Domain Registrars Might Be

作者：Mark Tang（威脅分析師）

藏有漏洞攻擊包的網站是資安廠商和研究人員經常研究的目標，所以攻擊者會想去閃躲正義的一方也並不令人驚訝。他們怎麼做呢？

攻擊者所用的最基本方法是IP黑名單。就像資安廠商會有IP用來發送垃圾郵件、代管惡意網站和接收被竊資料的大量黑名單一樣，攻擊者也掌握了他們認為安全廠商所使用的IP列表，並封鎖來自這些地址的存取。

更複雜一點的方式是只感染特定IP地址一次。這要如何做？

假設安全廠商有和特定攻擊相關的網站列表。他們會連上一個網站（手動或使用自動化工具），但攻擊者會在自己的後端資料庫記錄此特定IP地址已經連過與此攻擊相關的網站，如果安全廠商想要連到資料庫內的其他網站，那將無法成功存取惡意內容。

圖一、閃避爬網技術

這樣的後端資料庫可以和動態DNS服務一起使用。攻擊者可以動態地建立多個服務用隨機網址，所以他們可以在有人存取過後幾分鐘內就將該網址停用。 繼續閱讀