通過BGP劫持修改網絡支付系統DNS記錄

前言

在2018年4月，Oracle曾詳細描述了針對亞馬遜權威DNS服務的BGP劫持事件，那次攻擊目的是將用戶重定向到一個釣魚網站。

在過去一個月裏，Oracle觀察到了對權威DNS服務器實施BGP劫持的另外幾起事件，手法於上文中提到的相似。這次目標包括美國支付處理公司。與亞馬遜案例一樣，最近的這幾次BGP劫持使得假冒的DNS服務器能夠返回僞造的DNS響應，將不知情的用戶導向至惡意網站。由於在僞造的響應中使用了很長的TTL（生存時間）值，遞歸的DNS服務器在BGP劫持完成很久後，仍將這些僞造的DNS條目保存在緩存中，延長了攻擊的持續時間。

劫持者

2018年7月6日 23:37:18（UTC），Digital Wireless Indonesia（AS38146）將下列前綴通告了約30分鐘。

> 64.243.142.0/24 Savvis

> 64.57.150.0/24 Vantiv，LLC

> 64.57.154.0/24 Vantiv，LLC

> 69.46.100.0/24 Q9 Networks Inc.

> 216.220.36.0/24 Q9 Networks Inc.

其中3條是現有路由的具體公告（64.243.142.0/24、69.46.100.0/24、216.220.36.0/24）。

在2018年7月10日 22:17:37（UTC），馬來西亞運營商Extreme Broadband（AS38182）也將上述前綴通告了約30分鐘。由於時間不是很長，這些劫持前綴沒有廣泛傳播。

在23:37:47（UTC），這些前綴再次被通告了約15分鐘，不過這次是針對更廣的範圍，包括48個peer。BGP community從24218:1120變成24218:1，似乎加大了路由傳播範圍。

Datawire是一種“可以通過公共互聯網安全可靠地將金融交易傳輸到支付處理系統”的專利技術。Datawire的服務器ns1.datawire.net和ns2.datawire.net分別解析至216.220.36.76和69.46.100.71，這些地址在上面顯示的被劫持網絡中。

Vantiv和First Third Processing是美國知名的支付處理服務Worldpay的曾用名。Vantiv服務器ns1.ftpsllc.net和ns2.ftpsllc.net分別解析到64.57.150.53和64.57.154.53，這些地址在上面顯示的被劫持網絡上。

2018年7月11日 00:29:24（UTC），AS38182開始在兩次單獨的事件中劫持一組新的前綴，每次持續了幾分鐘。

> 209.235.25.0/24 Mercury Payment Systems

> 63.111.40.0/24 Mercury Payment Systems

> 8.25.204.0/24 Level 3

> 12.130.236.0/24 CERFnet

Mercury Payment Systems是一家信用卡處理服務公司，由Worldpay擁有。Mercury服務器ns1.mercurypay.com和ns2.mercurypay.com分別解析到209.235.25.13和63.111.40.13。這些IP地址被劫持爲209.235.25.0/24和63.111.40.0/24的一部分。在2018年7月12日 21:51:36（UTC），AS38182開始劫持與以前兩次目標相同的五個路由。

> 64.243.142.0/24 Savvis

>64.57.150.0/24 Vantiv，LLC

>64.57.154.0/24 Vantiv，LLC

>69.46.100.0/24 Q9 Networks Inc.

>216.220.36.0/24 Q9 Networks Inc.

這些劫持持續了近三個小時，如下圖所示：

如下圖所示，Q9顯然已經注意到他們的路由被劫持，開始通告同樣的路由以重新控制IP地址空間。

2018年7月12日 23:06:32（UTC），AS38182開始劫持各路由，包括面向知名DNS服務提供商UltraDNS的兩條路由，約10分鐘。

> 199.7.68.0/24 UltraDNS Corporation

> 199.7.69.0/24 UltraDNS Corporation

> 204.74.108.0/24 UltraDNS Corp

> 204.74.109.0/24 Internet Media Network

> 204.74.114.0/24 Internet Media Network

> 204.74.115.0/24 Internet Media Network

> 65.118.49.0/24 CenturyLink

僞造的DNS響應

7月10日至13日之間的被動DNS觀察顯示* .datawire.net域名解析到45.227.252.17，IP地址註冊地爲荷蘭加勒比海島庫拉索島，但是路由卻經由烏克蘭東部盧漢斯克區域發出。

同樣的是，4月亞馬遜Route53服務被劫持後被指向46.161.42.42，IP註冊地爲德國，但路由同樣經由烏克蘭東部盧漢斯克發出。

這些相似之處表明這兩起DNS服務器的BGP劫持可能是相關的。

在上個月的劫持中，黑客很注意細節，將僞造響應的TTL設爲~5天。目標域的正常TTL是10分鐘（600秒）。通過配置很長的TTL，僞造的記錄在BGP劫持已停止很久後可以在DNS緩存層中持續一段時間。

結論

這些事件表明互聯網基礎設施正在遭受直接攻擊，而且將會有增無減。

來自NTT Communications的Job Snijders表示：“我們唯一的希望就是利用互聯網行業的整合來發揮我們的優勢。如果知名DNS服務提供商（包括官方和遞歸服務）使用RPKI簽名路由，並驗證通過EBGP收到的路由，那麼這種攻擊不會造成太大的影響，因爲可以建立受到保護的閉合路徑。只有一小部分密集連接的組織和機構需要部署基於RPKI的BGP源驗證（BGP Origin Validation），確保爲數十億終端用戶提供良好的互聯網體驗。”

*參考來源：Oracle官方博客，周大濤編譯，轉載請註明來自FreeBuf.COM