打破隔離網絡！研究員披露最新DNS竊密漏洞 - 網安 - 專業的網絡安全產業、社區、知識平臺

企業隔離網絡環境中的DNS存在常見錯誤配置，可能導致氣隙網絡及其保護的高價值資產面臨外部攻擊風險。

前情回顧·打破物理隔離神話

安全內參12月9日消息，研究人員發現，企業環境中的域名系統（DNS）存在常見錯誤配置，可能導致氣隙網絡（Air-Gapped Networks，即隔離網絡）及其保護的高價值資產面臨外部攻擊風險。

安全驗證廠商Pentera的研究人員日前發布文章稱，在使用接入DNS服務器的氣隙網絡時，組織可能會無意間將資產暴露給惡意黑客，并導致嚴重的數據泄露。

研究人員表示，攻擊者可使用DNS作為命令與控制（C2）通道，借助接入互聯網的DNS服務器與內部網絡通信，最終成功入侵這些被認定為安全隔離的網絡。

之所以要對氣隙網絡進行隔離，避免業務或企業IT環境內的公共用戶網絡訪問互聯網，是為了保護組織“皇冠上的明珠”——最具價值的核心資產。要想訪問這部分內容，必須借助VPN或用戶網絡等“跳板”。

但這些氣隙網絡仍離不開DNS服務，要借此為系統分配名稱、實現網絡的可發現性。如果網絡管理員未能認真配置DNS，就會給看似安全的氣隙網絡留下安全隱患。

Pentera公司安全研究員Uriel Gabay表示，“我們的研究發現，DNS配置錯誤會無意中影響到氣隙網絡的完整性。”

對企業來說，只要能操縱DNS，惡意黑客就可通過通信線路穩定接入氣隙網絡，進而竊取敏感數據。而且從安全協議的角度來看，這類行為看起來完全合法。

DNS協議極易出現配置錯誤

Gabay強調，企業在建立氣隙網絡時最常犯的錯誤，就是忽略了接入本地DNS服務器所帶來的隱患。在大多數情況下，這些DNS服務器其實會接入公共DNS服務器，也就是“無意間突破了自己的氣隙邊界”。

研究人員在博文中解釋說，只有理解DNS的工作原理，才能把握攻擊者入侵氣隙網絡的具體方法。

要在DNS上發送信息，首先需要向協議請求一條由其處理的記錄（例如TXT文本記錄，或者NS命名服務器記錄），再將信息放置在該記錄名稱的第一部分中。如此一來，惡意黑客就能請求TXT記錄并收取DNS返回的文本響應，通過名稱中相應的部分接收信息。

雖然DNS協議也能在TCP上運行，但其多數情況下還是基于UDP。而UDP并不具備內置安全機制，因此攻擊者才能惡意利用DNS。此外，UDP中也無法控制數據傳輸的過程或順序。

由于UDP中缺乏錯誤檢測機制，惡意黑客可以在發送有效載荷前先行壓縮、在發送后立即解壓縮。這個過程可以使用Base64等任何編碼方式實現。

使用DNS突破氣隙邊界

盡管如此，與DNS成功通信并借此突破氣隙的過程其實也沒那么簡單。DNS對所接收的字符類型有所限制，所以攻擊一方不可能隨意發送字符。研究人員解釋道，那些不能用的部分被稱為“壞字符”。而發送的字符長度同樣受限。

為了克服難以在DNS中控制數據流的問題，惡意黑客可以通知服務器應緩沖哪個數據包并指明預期的最后一個數據包。另外，黑客還要確定在前一個數據包被成功收取前，不應發送其他數據包。

為了避免使用壞字符，惡意黑客在數據發送前會對內容應用Base64編碼。另外，他們還會將數據拆分成多個部分以逐一發送，借此繞開DNS的字符長度限制。

研究人員解釋說，為了避免防御方通過阻止請求服務器的方式屏蔽DNS請求，攻擊者還可使用兩端均知曉且能理解的變量生成域名。

“雖然整個執行過程并不算特別困難，但攻擊者個人或團伙確實需要相應的基礎設施以持續獲取DNS根記錄。”

惡意黑客還可以配置惡意軟件，要求其根據特定日期在DNS中生成域，這樣就能使用新的已知根域通過DNS持續發送新請求。“對于那些只使用靜態方法、甚至是基礎異常檢測進行檢測和預防的組織來說”，這類配置將“很難防范”。

緩解對氣隙網絡的DNS攻擊

咨詢機構IDC的最新版《全球DNS威脅報告》顯示，2022年內有88%的組織報告曾遭受到某種類型的DNS攻擊。面對DNS攻擊發生頻繁的持續提升，組織必須了解如何緩解并防御由DNS濫用引發的風險。

一種可行方法，就是為氣隙網絡創建專用的DNS服務器。但Gabay也提醒稱，組織一定得確保該服務器未接入組織內可能存在的其他DNS服務器，否則其“最終還是會接入公共互聯網”。

企業還應利用IDS/IPS工具在網絡中建立異常檢測，用以監控和識別不同尋常的DNS活動。Gabay指出，考慮到不同業務環境總有獨特性質存在，所以不同組織的解決方案也肯定會有所區別。

但無論如何，總有一部分通行的異常DNS活動值得所有組織給予關注，例如：指向惡意域的DNS請求、短時間內的大量DNS請求，以及在非正常時段發出的DNS請求。Gabay補充道，組織還應推行SNORT規則以監控所請求的DNS記錄的長度。