安全研究人员征服了一个国家/地区已过期的顶级域,以防止黑客入侵

2021-01-15 20:55:27

域-scpt-network.com-是.cd国家/地区代码顶级域的两个名称服务器之一,已分配给刚果民主共和国。如果落入不当之手,攻击者可能会将数百万不知情的互联网用户重定向到他们所选择的恶意网站。

显然,如此重要的领域不应过期;刚果政府中有人可能忘了为其续签付费。幸运的是,过期的域不会立即消失。相反,时钟开始于宽限期,供其政府所有者在将域名出售给他人之前回购该域名。

安全研究人员和网络安全初创公司Detectify的共同创始人Fredrik Almroth偶然地已经在寻找国家或地区代码顶级域(或ccTLD)的名称服务器,该域名服务器是区域网址末尾的两个字母的后缀,例如。对于法国是fr,对于英国是.uk。当他发现此关键域名即将过期时,阿尔姆罗斯开始监视它,假设刚果政府中有人愿意为收回该域名付费。

到12月底,时钟几乎快到了,域名即将从互联网上消失。在该域可用后的几分钟内,Almroth迅速将其抢购一空,以防止其他任何人接管它,因为正如他告诉TechCrunch所说,“其影响是巨大的。”

2017年,安全研究员Matthew Bryant接管了分配给英属印度洋领地的.io顶级域名的域名服务器。但是,恶意黑客也表现出了将顶级域黑客针对使用相同基于国家/地区域后缀的公司和政府的兴趣。

接管域名服务器并不是一件容易的事,因为它们是互联网工作方式的重要组成部分。

每次您访问网站时,设备都会使用名称服务器将浏览器中的网址转换为机器可读的地址,该地址告诉您的设备在互联网上的哪个位置可以找到您要查找的站点。有些人将名称服务器比作Internet的电话目录。有时,您的浏览器在寻找答案的过程中仅停留在其自身的缓存中,有时,它不得不向最近的名称服务器询问答案。但是控制顶级域的名称服务器被认为是权威的,并且无需询问其他名称服务器即可知道要查找的位置。

通过控制权威的域名服务器,恶意黑客可以进行中间人攻击,以静默地拦截并将合法站点访问的Internet用户重定向到恶意网页。

这类攻击已用于复杂的间谍活动中,这些活动旨在克隆网站以诱骗受害者交出其密码,黑客利用这些密码来访问公司网络以窃取信息。

更糟糕的是,Almroth说,通过控制名称服务器,就有可能获得有效的SSL(HTTPS)证书,从而使攻击者可以拦截任何.cd域的加密的网络流量或任何电子邮件邮箱,他说。对未经培训的人来说,成功的攻击者可以将受害者重定向到欺骗性的网站,但他们再明智不过了。

“如果您可以滥用用于颁发证书的验证方案,也可以破坏.cd下任何域的SSL,” Almroth说。 “处于这种特权地位的能力令人恐惧。”

阿尔姆罗斯(Almroth)最终在域名上呆了大约一周,因为他想出办法将其退还。至此,该域已经停用了两个月,并且没有发生灾难性的故障。最多,具有.cd域的网站可能需要花费更长的时间才能加载。

由于其余的名称服务器正常运行,因此Almroth使域保持脱机状态,以便每当互联网用户尝试访问由其控制下的名称服务器所依赖的域时,它将自动超时并将请求传递给其余的名称服务器。

最后,刚果政府没有费心地要求退还该域名。它创建了一个全新的但名称类似的域名-scpt-network.net-取代了现在由阿尔姆罗斯(Almroth)拥有的域名。

负责互联网地址分配的国际非营利组织ICANN表示,国家/地区代码顶级域名由各自国家/地区运营,其作用“非常有限”。 就ICANN而言,它鼓励各国遵循最佳实践并使用DNSSEC,这是一种加密方式更安全的技术,几乎不可能为欺骗性网站提供服务。 一位不愿透露姓名的网络安全工程师,因为他们无权与媒体交谈,他们质疑DNSSEC是否完全可以抵御顶级域劫持。 至少在这种情况下,日历提醒无法解决所有问题。