移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

互联网安然事务频发 DNS安然治理迫在眉睫

时间:2014-02-13 11:04来源:TuZhiJiaMi企业信息安全专家 点击:
日前,据新浪科技报导:1月21日下战书3点,全国所有通用顶级域的根办事器呈现异常,导致国内大年夜部门用户没法准确解析域名,对全国互联网链接造成系统性影响。据360安然卫士官方微博
Tags应用安全(1006)安全管理(325)互联网(74)DNS(13)安全事件(10)  

  日前,据新浪科技报导:1月21日下战书3点,全国所有通用顶级域的根办事器呈现异常,导致国内大年夜部门用户没法准确解析域名,对全国互联网链接造成系统性影响。据360安然卫士官方微博流露,经360网站卫士测试发现,良多网站被解析到65.49.2.178,启事在于国际节点呈现故障,国内三分之二DNS处于瘫痪状况。

  另据雅虎陈述:2014年1月3日,雅虎告白系统及其所有客户蒙受了歹意软件注进报复打击事务的影响。查询拜访显示,歹意告白在2013年12月30日至2014年1月3日间倡议报复打击。在此期间,拜候yahoo.com网站的用户遭到了歹意告白的报复打击,其经由过程受报复打击者浏览器的Java扩大对其系统安装歹意软件而倡议报复打击。该歹意软件经由过程雅虎的告白办事器短时候内报复打击了大年夜量客户。据估计,装有歹意代码的网站每小时大年夜约被拜候300,000次,估计每小时大年夜约造成27,000次传染。据报导,英国、法国和罗马尼亚是本次受报复打击最严重的国度,启事多是由雅虎的歹意告白建设造成。

  一个国内,一个国外,近期频繁产生的重大年夜互联网安然事务,仿佛都指向统一关头词DNS。这个之前几近无人存眷的范畴,一时候成了最热点的话题,国熟行业专家不由惊呼,中国域名系统安然扶植已迫在眉睫!为甚么会有如斯强烈的反应?其启事在于,DNS办事被黑客报复打击后,会造成互联网的导航系统周全间断或周全混乱。其成果是没法正常上彀,或收集拜候被弊端地导向其它办事器。是以DNS办事被报复打击后,正常拜候被解析到弊端的办事器地址,不言而喻的故障之一是大年夜面积断网,另外一大年夜风险则是被垂钓网站讹诈。黑客可能将正常网站的域名解析到弊端的地址,假定黑客在这个方针地址搭建一个垂钓网站,网平易近输进的帐号暗码信息就会被盗。

  以雅虎事务为例,拜候yahoo.com的客户收到ads.yahoo.com推送的告白。查询拜访发现此中部门为歹意告白。这些歹意告白操纵的是托管在original-filmsonline.com, funnyboobsonline.org 和 yagerass.org域名上的内置框架。2014年1月1日又新增了两个域名:blistartoncom.org 和slaptonitkons.net。

  拜候歹意告白时, HTTP(超文本传输和谈)会从头指向看似随机的子域名,如:boxsdiscussing.net,crisisreverse.net和limitingbeyond.net,用户因此被从头指向一个称为“Magnitude”的威胁东西。

  所有这些域名都是由一个在荷兰托管的自力IP地址193.169.245.78发送的。

  上述威胁东西专门报复打击Java缝隙,并安装一系列不合的歹意软件,包含ZeuS, Andromeda 和 Dorkbot/Ngrbot。

  歹意软件若何绕开现有安然防护

  在这一事务中,几层呵护仿佛没有起到感化:拜候yahoo.com的客户收到ads.yahoo.com供给的告白。此中一些告白是歹意的,带有歹意域名托管的内置框架。Yahoo告白办事器未能辨认并反对来自歹意域名的内置框架的报复打击。

  拜候歹意告白时,用户被从头指向一个上面提到的“Magnitude”威胁东西。然后该东西操纵了一系列Java缝隙并绕过浏览器调试东西防护,然后在方针系统上安装了良多不合的歹意软件。因为网站遍及采取Java扩大,是以仍然有相当多的浏览器承诺履行来自非信源的Java代码。这一弱点恰好被黑客所操纵。

  防病毒软件类的本地监测机制监测到由这一威胁东西安装的复杂歹意软件组合的比率比较低。安装的歹意软件会延续改变其二进制代码,并操纵其它隐形手艺延续避免被签名授权的本地监测引擎监测到。

  一样地,因为歹意软件是由比来注册的域名操纵新的内容模式发送的,是以尽大年夜大都防火墙和IDS/IPS没法发现。歹意软件可以或许在雅虎和/或安然查询拜访人员发现并解决该事务前的短时候内进行大年夜量传播,这说了然该标题问题标严重性,也透露了传统防御机制的诟病。

  Infoblox若何帮忙防御此类报复打击

  有效避免此类事务产生

  Infoblox DNS Firewall歹意数据信息订阅办事此前已辨认出歹意IP, 193.169.245.78为歹意收集的一部门,是以在12月30日前,乃至是雅虎和Fox-IT初次发现该歹意软件前,已将其反对。Infoblox DNS Firewall反对歹意域名解析到歹意IP,是以呵护了拜候yahoo.com的方针客户不受歹意软件的报复打击。Infoblox DNS Firewall可反对或从头指向(凡是是由IT指向到内部定义的登录网页)解析的DNS查询歹意域名与IP地址。综合起来,Infoblox DNS Firewall可以帮忙企业实现以下优势:

  削减企业的泄密风险(包含合法暴光):Infoblox DNS Firewall是一种冲击歹意软件的极佳编制,它为您的企业、您的合作火伴和您的客户供给了最大年夜程度的呵护。最大年夜程度削减在歹意软件的防御和解救方面所耗用的资本:此解决方案在威胁开端舒展之前就禁止了威胁的轨迹,同时确保辨认出所有受传染客户端,乃至包含用户自有的智妙手机和平板电脑设备。在您的IT系统和流程中构建防御:设置后,无需手动干涉干与,供给 24x7 全天候防御。各类日记和陈述供给了完全的审计跟踪,和合适放进IT任务队列的受传染客户端的列表。

  首要方针-避免传染

  面向该歹意软件的最好方案起首是避免遭到传染。禁用不需要的浏览器扩大、修复缝隙和遵守安然规范是最有效的编制。

  如有可能,请禁用浏览器上的Java。假定需要Java的某些办事,请将其限制到白名单域名列表中。

  保持把持系统、web浏览器和其他扩大,例如Java和Flash获得完全的补丁,将报复打击者可操纵的缝隙降至最低,从而呵护方针客户。

  确保尽快修复(最好是在发布更新法度的1-2天内完成修补工作)

------分隔线----------------------------

推荐内容