课时8 DNS放大攻击工具编写高级篇(51倍)(一)
黑客已经发布了软件利用最近在互联网上的计算机之间路由消息的域名系统(DNS)软件中发现的一个漏洞。
攻击代码周三由Metasploit黑客工具包的开发者发布。
互联网安全专家警告说,代码可能会使罪犯有一种办法,对服务提供商尚未安装最新的DNS服务器补丁的互联网用户发起几乎无法检测到的钓鱼攻击。[
] [更多阅读:最佳NAS媒体流和备份盒]攻击者也可以使用该代码默默地将用户重定向到伪造的软件更新服务器,以便在他们的计算机上安装恶意软件,安全厂商赛门铁克技术总监Zulfikar Ramizan说。 “这是什么让整个事情真正令人感到恐惧的是,从最终用户的角度来看,他们可能没有注意到任何东西,”他说,“这个bug早在本月早些时候由IOActive研究人员Dan Kaminsky披露,但是这个缺陷的技术细节是本周早些时候泄漏到互联网上,使Metasploit代码成为可能。 Kaminsky与微软,思科和互联网系统联盟(ISC)等DNS软件的主要提供商一起工作了几个月,为这个问题制定了一个解决方案。自7月8日起,DNS服务器主要用户的公司用户和互联网服务提供商已经修复了这个漏洞,但是许多用户和互联网服务提供商尚未在所有DNS服务器上安装该修补程序。
攻击是所谓的缓存中毒攻击。它与DNS客户端和服务器从Internet上的其他DNS服务器获取信息的方式有关。当DNS软件不知道计算机的数字IP(互联网协议)地址时,它会向另一台DNS服务器询问此信息。在缓存中毒的情况下,攻击者会诱使DNS软件认为合法域(如idg.com)映射到恶意IP地址。在Kaminsky的攻击中,缓存中毒尝试还包括所谓的“附加资源记录”数据。安全专家称,通过添加这些数据,攻击变得更加强大。
攻击者可以对ISP的(互联网服务提供商)域名服务器发起这样的攻击,然后将其重定向到恶意服务器。例如,通过中毒www.citibank.com的域名记录,攻击者每次尝试通过Web浏览器访问银行网站时,都可以将ISP的用户重定向到恶意网络钓鱼服务器。
周一,安全公司Matasano意外地在其网站上公布了该漏洞的详细信息。 Matasano很快删除了该帖子并为其错误道歉,但已为时过晚。该漏洞的详细情况很快就传遍了互联网。尽管现在大多数DNS软件用户都可以使用软件修复程序,但这些更新可能需要一段时间才能在测试过程中正常工作,并且实际上可以在网络上进行安装。 “大多数人还没有补丁,”ISC总裁Paul Vixie在本周早些时候接受电子邮件采访时说。 “对于这个世界来说,这是一个巨大的问题。”
Metasploit的代码看起来“非常真实”,并且使用了以前没有记录过的技术,他说Trusteer的首席技术官Amit Klein可能会用于攻击,他预测。 “现在利用漏洞已经存在,加上并非所有的DNS服务器都升级了……攻击者应该能够毒化一些ISP的缓存,”他在电子邮件采访中写道。 “事情是 - 如果攻击者……仔细地工作并正确地掩盖他们的踪迹,我们可能永远不会知道这种攻击。”