美国发布DNS劫持紧急指令

美国新成立的网络安全及基础设施安全局(CISA)在1月发布紧急指令，要求立即采取措施保护美国联邦信息系统不受DNS劫持与篡改侵害。

CISA于去年11月成立，旨在领导美国关键基础设施防护工作。接到安全公司火眼关于当前DNS劫持与篡改攻击活动的警报后，局长 Chris Krebs 签发了该紧急指令。

指令列出了各机构必须采取的一系列系统强化措施，以及关键安全过程的意识提升及可信度增强操作，这些措施和操作具有风险指示性，简单直白，高效率/低负担。

——Chris Krebs，2019年1月23日

此前国土安全部(DHS)基于火眼公司的报告发出了安全警报，表示劫持有可能出自伊朗的黑客团伙发起协同DNS劫持攻击，篡改了政府机构的DNS记录。

DHS要求各机构采取如下4个操作：

1. 审计DNS记录

10个工作日内，所有.gov或其他机构管辖下的域名，均需审计全部权威及备用DNS服务器上的公共DNS记录，验证这些记录是否解析至既定地址。如有解析错误的情况，上报CISA。

2. 修改DNS账户口令

10个工作日内，能修改机构DNS记录的主机上的所有账户，全体更新登录口令。

3. DNS账户添加多因子身份验证措施

10个工作日内，能修改机构DNS记录的主机上的所有账户，全部实现多因子身份验证(MFA)。

4. 监视证书透明性日志

10个工作日内，通过‘网络卫生( Cyber Hygiene )’，CISA将开始为机构域名的CT（证书透明性）日志，交付最新的额外认证。

修复DNS劫持：政府停摆期间并不容易

据悉，请假的员工会被召回，但由于政府停摆，他们的工作是无偿的。Krebs称：尽管知道某些机构因为政府部分停摆而难以执行该指令，但他们认为这些操作都是必要的，而且是紧急而可以实现的，因为大多数机构都有足够的员工采取必要操作。

美国民众永远不应该质疑与联邦政府互动的安全性，不应该怀疑他们的敏感数据是否存在风险，不应该担心来自政府的信息遭到了篡改。

火眼将此攻击描述为：此类攻击难以防御，因为重要信息可能被盗，即便攻击者从未能够直接访问你公司的网络。可采取的安全强化措施包括：在域名管理门户实现多因子身份验证；验证权威及备用域名服务器DNS记录修改；查找与你域名相关的SSL证书，撤销任何可疑证书；验证OWA/Exchange日志中的源IP；执行内部调查，评估攻击者是否取得自身环境访问权。

美国国土安全部关于成立CISA的通报：

https://www.dhs.gov/cisa/news/2018/11/13/congress-passes-legislation-standing-cybersecurity-agency-dhs

火眼报告：

https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html  

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。