国土安全部命令美国联邦机构对其域名的DNS安全进行审计

在紧急安全警报发布之前，最近发生了一系列涉及DNS劫持的事件，具有“适度信心”的安全研究人员认为这些事件起源于伊朗。

域名系统（DNS）是互联网的一项关键功能，它充当互联网的目录，在您输入人类可读的网址（如thehackernews.com）后，您的设备在其中查找服务器IP地址。

什么是DNS劫持攻击？

DNS劫持包括更改域的DNS设置，将受害者重定向到一个完全不同的攻击者控制的服务器，并使用他们试图访问的网站的假版本，目的通常是窃取用户的数据。

“攻击者更改DNS记录，如地址（A）、邮件交换器（MX）或名称服务器（NS）记录，用攻击者控制的地址替换服务的合法地址，”DHS公告写道。

威胁参与者已经能够通过捕获管理员帐户的凭据来做到这一点，管理员帐户可以更改DNS记录。由于攻击者获取被劫持域名的有效证书，启用HTTPS将无法保护用户。

该指令写道：“因为攻击者可以设置DNS记录值，他们还可以获得组织域名的有效加密证书。这允许对重定向的流量进行解密，从而暴露用户提交的任何数据。”。

最近针对政府网站的DNS劫持攻击

本月早些时候，Mandiant FireEye的安全研究人员报告了一系列DNS劫持事件，涉及中东和北非、欧洲和北美的数十个政府、互联网基础设施和电信实体的域名。

国土安全部的建议还指出，“CISA知道多个行政分支机构域受到篡改活动的影响，并已通知维护这些域的机构。”

去年年底，Cisco Talos的研究人员还发布了一份关于一次复杂恶意软件攻击的报告，该攻击破坏了黎巴嫩和阿拉伯联合酋长国（阿联酋）政府和公共部门网站的域名注册帐户。

国土安全部命令联邦机构对其域名的DNS安全进行审计

国土安全部命令联邦机构：

• 审核公共DNS记录和辅助DNS服务器是否存在未经授权的编辑，
• 在可用于篡改DNS记录的系统上更新其所有帐户的密码，
• 启用多因素身份验证以防止对其域进行任何未经授权的更改，以及
• 监视证书透明日志。

对于那些不知情的人来说，证书透明（CT）是一项公共服务，允许个人和公司监控任何证书颁发机构为其域秘密颁发了多少数字证书。

国土安全部网络安全和基础设施安全局（CISA）的网络卫生服务也将开始定期向美国联邦机构域的CT日志发送新添加的证书。

一旦CISA开始分发这些日志，政府机构就需要立即开始监控其CT日志数据，以获取他们没有要求的已颁发证书。如果任何机构发现任何未经授权的证书，必须向发证机构和CISA报告。

除国防部、中央情报局（CIA）和国家情报局长办公室外，其他机构有10天的时间执行这些指令。