通过BGP劫持修改网络支付系统DNS记录

前言

在 2018 年 4 月,Oracle 曾详细描述了针对亚马逊权威 DNS 服务的BGP 劫持事件,那次攻击目的是将用户重定向到一个钓鱼网站。

在过去一个月里,Oracle 观察到了对权威 DNS 服务器实施BGP 劫持的另外几起事件,手法于上文中提到的相似。这次目标包括美国支付处理公司。与亚马逊案例一样,最近的这几次BGP 劫持使得假冒的 DNS 服务器能够返回伪造的 DNS 响应,将不知情的用户导向至恶意网站。由于在伪造的响应中使用了很长的 TTL(生存时间)值,递归的 DNS 服务器在BGP 劫持完成很久后,仍将这些伪造的 DNS 条目保存在缓存中,延长了攻击的持续时间。

劫持者

2018 年 7 月 6 日 23:37:18(UTC),Digital Wireless Indonesia(AS38146)将下列前缀通告了约 30 分钟。

> 64.243.142.0/24 Savvis

> 64.57.1​​50.0/24 Vantiv,LLC

> 64.57.1​​54.0/24 Vantiv,LLC

> 69.46.100.0/24 Q9 Networks Inc.

> 216.220.36.0/24 Q9 Networks Inc.

其中 3 条是现有路由的具体公告(64.243.142.0/24、69.46.100.0/24、216.220.36.0/24)。

在 2018 年 7 月 10 日 22:17:37(UTC),马来西亚运营商 Extreme Broadband(AS38182)也将上述前缀通告了约 30 分钟。由于时间不是很长,这些劫持前缀没有广泛传播。

在 23:37:47(UTC),这些前缀再次被通告了约 15 分钟,不过这次是针对更广的范围,包括 48 个peer。BGP community 从 24218:1120 变成 24218:1,似乎加大了路由传播范围。

劫持数据图Datawire 是一种“可以通过公共互联网安全可靠地将金融交易传输到支付处理系统”的专利技术。Datawire 的服务器 ns1.datawire.net 和 ns2.datawire.net 分别解析至 216.220.36.76 和 69.46.100.71,这些地址在上面显示的被劫持网络中。劫持数据图

Vantiv 和 First Third Processing 是美国知名的支付处理服务 Worldpay 的曾用名。Vantiv 服务器 ns1.ftpsllc.net 和 ns2.ftpsllc.net 分别解析到 64.57.150.53 和 64.57.154.53,这些地址在上面显示的被劫持网络上。

2018 年 7 月 11 日 00:29:24(UTC),AS38182 开始在两次单独的事件中劫持一组新的前缀,每次持续了几分钟。

> 209.235.25.0/24 Mercury Payment Systems

> 63.111.40.0/24 Mercury Payment Systems

> 8.25.204.0/24 Level 3

> 12.130.236.0/24 CERFnet

劫持数据图Mercury Payment Systems 是一家信用卡处理服务公司,由 Worldpay 拥有。Mercury 服务器 ns1.mercurypay.com 和 ns2.mercurypay.com 分别解析到 209.235.25.13 和 63.111.40.13。这些 IP 地址被劫持为 209.235.25.0/24 和 63.111.40.0/24 的一部分。在 2018 年 7 月 12 日 21:51:36(UTC),AS38182 开始劫持与以前两次目标相同的五个路由。

> 64.243.142.0/24 Savvis

>64.57.1​​50.0/24 Vantiv,LLC

>64.57.1​​54.0/24 Vantiv,LLC

>69.46.100.0/24 Q9 Networks Inc.

>216.220.36.0/24 Q9 Networks Inc.

这些劫持持续了近三个小时,如下图所示:劫持数据图如下图所示,Q9 显然已经注意到他们的路由被劫持,开始通告同样的路由以重新控制 IP 地址空间。劫持数据图

2018 年 7 月 12 日 23:06:32(UTC),AS38182 开始劫持各路由,包括面向知名 DNS 服务提供商 UltraDNS 的两条路由,约 10 分钟。

> 199.7.68.0/24 UltraDNS Corporation

> 199.7.69.0/24 UltraDNS Corporation

> 204.74.108.0/24 UltraDNS Corp

> 204.74.109.0/24 Internet Media Network

> 204.74.114.0/24 Internet Media Network

> 204.74.115.0/24 Internet Media Network

> 65.118.49.0/24 CenturyLink

劫持数据图

伪造的 DNS 响应

7 月 10 日至 13 日之间的被动 DNS 观察显示* .datawire.net 域名解析到 45.227.252.17,IP 地址注册地为荷兰加勒比海岛库拉索岛,但是路由却经由乌克兰东部卢汉斯克区域发出。

7.png

同样的是,4 月亚马逊 Route53 服务被劫持后被指向 46.161.42.42,IP 注册地为德国,但路由同样经由乌克兰东部卢汉斯克发出。

8.png

这些相似之处表明这两起 DNS 服务器的BGP 劫持可能是相关的。

在上个月的劫持中,黑客很注意细节,将伪造响应的 TTL 设为~5 天。目标域的正常 TTL 是 10 分钟(600 秒)。通过配置很长的 TTL,伪造的记录在BGP 劫持已停止很久后可以在 DNS 缓存层中持续一段时间。

结论

这些事件表明互联网基础设施正在遭受直接攻击,而且将会有增无减。

来自 NTT Communications 的 Job Snijders 表示:“我们唯一的希望就是利用互联网行业的整合来发挥我们的优势。如果知名 DNS 服务提供商(包括官方和递归服务)使用 RPKI 签名路由,并验证通过 EBGP 收到的路由,那么这种攻击不会造成太大的影响,因为可以建立受到保护的闭合路径。只有一小部分密集连接的组织和机构需要部署基于 RPKI 的 BGP 源验证(BGP Origin Validation),确保为数十亿终端用户提供良好的互联网体验。”

*参考来源:Oracle 官方博客 ,周大涛编译,转载请注明来自 FreeBuf.COM


Summer Blog , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:通过 BGP 劫持修改网络支付系统 DNS 记录
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址