近日,Infoblox发现一个名为Hazy Hawk的黑客团伙近期通过劫持废弃的DNS CNAME记录,成功控制了包括政府机构、知名大学和财富500强企业在内的多个高信誉域名,用于传播诈骗内容、恶意广告和虚假应用程序。
Hazy Hawk的攻击核心在于利用了云服务废弃后未及时清理的DNS CNAME记录。CNAME记录本用于将子域名指向其他域名或云资源,然而当云服务停止使用后,若相关DNS记录未被删除,就会成为攻击者眼中的重点攻击对象。攻击者通过扫描废弃记录,锁定指向已废弃云端点的CNAME记录,随后在云平台上注册与废弃CNAME中名称相同的新资源,使得原始域的子域名解析直接指向攻击者控制的云托管站点。
例如,原本属于权威机构的子域名,在DNS记录未清理的情况下,被攻击者轻松劫持。攻击者利用这些劫持的子域名生成大量恶意URL,由于父域本身具有“可信”身份,这些恶意链接在搜索引擎中极易伪装成合法链接,诱使毫无戒心的用户点击。
Hazy Hawk的攻击目标广泛,包括政府机构、教育机构、跨国企业和非营利组织。部分被劫持的知名域名包括:
·cdc.gov-美国疾病控制和预防中心
·honeywell.com-跨国企业集团
·berkeley.edu-加州大学伯克利分校
·michelin.co.uk-米其林轮胎英国
·ey.com、pwc.com、deloitte.com——全球四大咨询公司
·ted.com–著名的非营利媒体组织(TED演讲)
·Health.gov.au-澳大利亚卫生部
·unicef.org-联合国儿童基金会
·nyu.edu-纽约大学
·unilever.com-全球消费品公司
·ca.gov-加利福尼亚州政府
在控制这些子域名后,Hazy Hawk会生成大量恶意URL,用于多种非法活动:
技术支持诈骗:伪装成微软或苹果的虚假技术支持页面,诱导用户拨打诈骗电话或下载恶意软件。
虚假杀毒软件:弹出伪造的安全警报,要求用户付费购买“高级防护”。
钓鱼攻击:模仿银行或企业登录页面,窃取用户凭证。
恶意广告与虚假流媒体网站:通过色情或盗版内容吸引用户点击,随后重定向至诈骗页面。
此外,Hazy Hawk还利用浏览器推送通知进行持续攻击。一旦用户允许某个被劫持网站发送通知,即使关闭页面后仍会收到大量恶意广告或诈骗信息,为攻击者带来长期收益。
面对这种DNS漏洞带来的严峻威胁,企业和机构必须高度重视,从多个层面构建完善的防御体系,以有效抵御类似攻击,保护自身和用户的利益。
首先,在云服务弃用流程上,应建立严格的清理机制。在云服务终止时尽快删除相关DNS记录,从源头上杜绝攻击者利用废弃记录的可能。
其次,强化DNS安全配置。启用DNSSEC验证DNS响应的真实性,对DNS响应数据进行加密和验证,防止缓存投毒和DNS劫持等针对DNS的攻击。
再者,加强DNS监控与行为分析。采用专业的DNS监测系统,对DNS解析状态进行实时监测,一旦发现子域名解析异常情况立即发出警报。
最后,加强与云服务商的安全协同。要求云服务商在终止服务时强制删除关联DNS记录,并提供API接口供企业自动化管理,确保DNS配置的安全性和一致性。
Hazy Hawk的攻击事件为网络安全敲响了警钟。DNS作为互联网的“基石”,其安全性至关重要。企业和机构必须高度重视DNS配置管理,构建全方位的防御体系,才能有效抵御类似攻击,保护自身和用户的利益。
关于国科云国科云作为中国科学院控股有限公司旗下企业,二十五年来持续深耕域名安全相关领域,基于云计算和人工智能技术自主研发了全新一代智能云解析产品。通过部署全球多地的解析监测节点,云解析能够对域名解析状态进行实时监测,精准识别解析篡改、生效异常等各类问题,并即时触发多级告警机制。同时系统集成DNSSEC数字签名认证、智能流量清洗、分布式DDoS防护等多重安全防护机制,有效防范DNS劫持、缓存投毒、DDoS攻击等安全威胁,为客户提供高达99.99%的解析可用性保障,确保政企客户在线业务持续稳定运行。
相关推荐:
