英国网络安全机构调查DNS劫持

国家网络安全中心（NCSC）在警报中宣布，它正在调查域名系统（DNS）基础设施篡改攻击的国际运动。

该公告仅次于美国国土安全部（DHS）发布了机只指导政府部门的几天，以努力阻止进一步的攻击。

美国当局警告攻击者可以使用受损的凭据来修改组织域名资源解析为将用户流量重定向到攻击者控制的基础结构的位置，并获取组织域名的有效加密证书，从而启用中间人攻击。

英国和美国政府警报思科的缩略图和Fireeye的聪明智力团队的报告遵循思科的智慧智力团队，这是一股DNS劫持，显然来自伊朗，正在影响各个地方，电信和互联网基础设施在中东的互联网基础设施实体北非，欧洲和北美。

美国当局表示，他们正在跟踪“一系列事件”涉及DNS基础设施篡改，意识到受影响的“多行政部门机构域”，虽然NCSC表示目前没有意识到英国的任何受损实体，但代理商警告说，展出的技术可以“可行地部署”对英国目标。

详细说明广告系列中使用的DNS地址记录和DNS名称服务器记录劫持技术，NCSC表示用于损害凭证的初始感染载体尚不清楚，但是可以利用多种技术来获得立足点是合理的。

NCSC警报列出了已报告的妥协（IOC）的许多指标，并建议组织在其网络上监视这些IOC。

NCSC表示，它正在与行业合作伙伴和国际政府同行合作，了解攻击活动的影响并确定防御措施。

与此同时，NCSC建议负责登记域名的组织在三个方面取消缓解步骤：

确保在所有注册器或注册表帐户中启用了双因素身份验证，并且密码不容易猜到，安全地存储，并且不会在Services中重复使用.Attackers可能会尝试使用帐户恢复过程来访问域管理，因此请确保联系方式是准确的，最新的.Many注册商和注册表提供“锁定”服务，以便在更改之前需要额外的安全增强步骤。了解您可用的任何“锁定”服务，并考虑将它们应用，尤其是高值域。要启用任何可用日志的任何可用日志，以便您在所有DNS中审核已更改。托管帐户，密码不容易猜到，而不是在Services上重新使用。要素，您可以备份关键DNS区域，以允许您在违规事件中恢复.Consider使用配置的配置方法管理到DNS区域的更改。将启用任何可用日志记录，以便您可以查看已制作的更改。对于意外更改，例如Name Server Record，与名称服务器记录相关联的地址记录，MX记录的审核关键DNS记录。和与关键服务相关联的DNS记录，这将是高价值目标。DNS监控服务广泛可用。为您的域发出TLS证书的Monitor证书透明度日志。意外的证书可能是攻击者控制与域关联的DNS的指示。DNS管理中涉及的inpiduals对DNS帐户的重要性有意识，以及所针对的这些帐户的威胁可能被劫持如果它的注册不再续订并且它到期。确保联系人和结算详细信息与您的注册商避免避免此操作是正确的..可以将其委派给不同的团队，例如通过NS或CNAME记录来委派给不同的团队或第三方。确保这些缔约方符合您的安全需求，并确保在不再使用时迅速撤销此类代表团.Consider在组织中正式化“注册表”以监督域名管理。这是多个团队已注册和操作域的最相关的。

---