图像

751由Gandi管理的域名劫持以满足恶意软件

 头像
太阳,16 TH. July 2017, 14:10

域名注册商 甘吉 已承认,在未知的个人设法以获得其一个技术提供者的登录详细信息,在上周最近一周劫持了至少751个域名劫持。

在注册管理机构运营商向GANDI报告了可疑变更之前,更改会被忽视了多个小时的时间。根据该公司的事件报告,Gandi的技术团队确定了这个问题,改变了所有登录并开始恢复所做的变化,这是一个花费三个半小时的过程。

甘迪坚定地说,袭击不涉及任何违反他们的数据库或后端,也不涉及违反技术合作伙伴的基础设施。

攻击者可以通过使用我们的登录凭据访问我们的技术伙伴的网络门户来进行更改,他们偷偷地获得了他们的登录凭据。这些凭据“同样无法通过违反我们的系统而获得,我们强烈怀疑他们是从与我们的技术合作伙伴的网站门户网站的不安全的连接获得的”(所讨论的Web平台允许通过HTTP访问)。

甘吉 表示,考虑到有问题的个人注册表和相关DNS区域的TTL的名称服务器供应的延迟,未经授权的变更最多持续8至11小时。

攻击

受攻击影响的一个域名是瑞士信息安全公司SCRT。该公司在博客帖子中关于该事件的帖子提供了更简洁的解释,对攻击者能够操纵这个过程的位置,同时陈述他们仍然没有收到来自Gandi的任何消息,就是首先使所有这一切成为所有这一目标。

Domain Scrt.ch在Gandi注册,在那里我们配置我们的名称服务器的IP地址。 Gandi负责将此信息传播到NIC.CH,从全球范围内启用我们的域SCRT.CH的分辨率。

上周五,攻击者能够危及Gandi使用的技术提供者与各种TLD注册管理机构进行通信。这种妥协允许他请求更改注册表,包括NIC.ch,修改包括我们的多个域的名称服务器信息。

此时,DNS解析路径中引入了流氓DNS服务器。查看上述DNS解析过程,劫持事件发生在NIC.CH的位置,其中NIC.CH为rogue DNS服务器提供给任何解析器,允许攻击者将所受影响的域的任何请求重定向到攻击者本人所拥有的IP地址。

SCRT还注意到,它的所有电子邮件都被重定向在攻击期间,但幸运的是,通过进行攻击的人没有设置电子邮件服务器来抓住它们。他们还表示只有从未访问过他们的网站的访问者,因为HTTP严格传输安全性的受影响者受到影响,只能强迫他们的浏览器使用有效的HTTPS,攻击者无法模拟导致连接错误。

甘吉 在730个TLD中管理超过210万个域名,跨越大约200多个注册表。

罗禅网托管