域名被黑客劫持怎么辦?某公司整個域名都被黑客劫持了，他們試圖從你們客戶那里竊取數據并且傳播惡意代碼。在本文中，我們會詳細介紹針對這種情況的應急響應方案。另外，這一威脅對信息安全策略和安全布局的顛覆，我們可以用一些簡單的方法進行緩解。

DNS基礎知識

為了更好地理解到底發生了什么，我們需要了解一些DNS的基本概念。

DNS即域名系統，是互聯網能夠正常運營的基礎。我們每天使用的網站和其他網絡服務的名字，都需要借助因特網協議轉換為IP地址，DNS服務器就在其間起一個翻譯的作用。

DNS服務器以層級架構的方式工作，當解析請求傳遞給相應的DNS服務器時，它會負責解決問題。DNS服務器的根節點，可以比擬為任意網站域名最后看不見的一個點，它們分布在全世界不同的地方。這些根DNS服務器必須知道控制頂級域名DNS服務器(比如”.com”)的IP地址。同樣，“.com”DNS服務器也需要知道控制你公司域名的DNS服務器(比如“yourdomain.com”)的IP地址。

舉個例子，有DNS請求需要解析“www.gsky-link.com.cn”，在請求包到達了根DNS服務器“.”之后，反過來又會下放到“.com.cn”服務器，接著再到你公司的DNS服務器，最后它會解析“www”域名，然后返回正確的地址給你。

這些頂級域名(比如”.com”)由域名注冊商把控，這些域名注冊商也被稱作NIC(網絡信息中心)。它們會管理自己負責的注冊域名，同時專門配置DNS服務器的IP地址，來負責解析如“taodami.com.cn”等域名。

域名劫持

無論你在哪家域名注冊商注冊或者管理一個域名，必須先在他們那里創建一個賬戶。這個賬戶可以把域名注冊商的DNS服務器IP地址，指向你的網站或者email服務器的IP地址。

這樣一來，域名注冊商網站的賬戶信息會顯得非常重要。一旦有不懷好意的人獲取到這些信息，就能任意操作你的域名配置以及你DNS服務器的IP地址。簡而言之，他們可以將你們公司的域名和郵件劫持到他那兒。

我們現在回過來看看，故事中到底發生了什么：

黑客盜竊了該公司在域名注冊網站的身份憑證，登進去改變了主/次DNS服務器配置，將其指向了黑客自己的地址。之后，該公司的客戶訪問的都是黑客偽造的網站，然后下載了黑客準備的惡意內容。我們可以猜測，罪犯的目的很可能是為了傳播惡意軟件。

事件響應

與大多數網絡事件一樣，你只需要加載備份和配置就能恢復你的基礎設施。在這個事件當中，所有的服務器其實并沒有受到損害。

在這些情況下，你有兩件事要做：

第一，找回域名注冊網站上的登陸憑證。

第二，提醒你的客戶網站已經被黑，千萬不能再在上面下載任何內容。

注意，你這個時候千萬不能使用你公司的email去發送消息，因為黑客很可能已經控制了你們的email服務，甚至正在竊聽你們公司所有的通信內容。我們這里建議，你可以通過公司的社交網絡賬戶或者其他渠道去發送這些通知。

我們認為，黑客之所以選擇在周末進行襲擊，那是因為這時候是比較難恢復網絡環境的。這次事件發生在周六早上11點，直到下午5點左右該公司才將DNS配置為正確的服務器。但是事情到了這里還沒完，由于黑客的惡意改動，客戶在接下來幾個小時內仍然訪問到的是偽造的網站，這一直持續到了因特網上DNS緩存進行了更新才結束。本來黑客為公司域名設置了24小時的TTL值，這意味著DNS服務器會在接下來的24小時內用黑客的IP來解析公司域名。

公司想要加快恢復的唯一途徑，是聯系國內負責主DNS服務器的網絡運營商，然后請求他們刷新DNS配置。

當做好這一切后，情況終于開始恢復。

網站憑證是如何失竊的

在這期間，公司應急響應團隊中有一部分人員負責恢復網絡環境，另一部分人員開始分析憑證失竊的原因。

在向負責此事的DNS管理員問詢后，我們收集到一些值得注意的信息：

他在域名注冊商那里，綁定了一個Gmail賬戶，這可以用來進行密碼找回。在這次事件發生之前，他的手機至少在4小時內出現無服務的情況，而重置Gmail密碼的短信正需要這臺手機。

經過公司調查人員的努力，發現Gmail的密碼確實在那段時間被人通過手機進行了更改。另外，根據收到的證據表明，這只可能是因為手機被克隆了。

目前，這一假設是非常合理的，我們知道黑客可以通過SDR(軟件無線電)向GSM基礎設施發起攻擊，截獲特定號碼的網絡消息和短信消息。

攻擊者的目標

這一事件中出現了很多的受害者，首先是被劫持域名的公司本身，其次還有訪問黑客偽造的網站然后下載了惡意軟件的用戶們。很明顯，這種情況下的域名劫持只是為那些沒有太多警惕性的人準備的。黑客通過那些信任這家公司的人，去散播惡意軟件，最終成功讓他們感染。

根據初步分析，這次事件的惡意軟件樣本是一個銀行木馬(Banload)，它專門用于竊取巴西銀行用戶的憑證。

漏洞和建議

黑客會利用不同的漏洞和攻擊策略來達到他們的目的，下面我們會討論一些預防和對抗措施，來減輕類似攻擊帶來的風險。

雙因子身份認證

咱們現在在域名注冊商那里啟用雙因子驗證是非常有必要的，這意味著你必須要提供至少兩種方法才能證明你的身份，比如密碼、硬件/軟件令牌，甚至你自己的指紋。

在這次事件的分析中，即使黑客可以重置于域名注冊商綁定的Gmail賬戶，他們也無法獲得軟件令牌。這次的事件告訴我們，千萬不要用短信作為第二重的身份驗證，因為手機被盜或者被克隆后，黑客就可以通過短信服務去獲取你的身份憑證。

分析與域名注冊商綁定的email賬戶

分析這個email賬戶是非常重要的，通常它們可以用于重置網站的密碼，所以經常會成為許多釣魚者熱衷的目標。如果你偏愛使用email賬戶進行身份驗證的話，建議啟用雙因子身份認證，這樣更不容易被黑。

建立事件響應計劃

你需要有一個針對這類事件的詳盡的應對措施，咱們總會有用到的時候。

另外，大家需要注意的是，計劃中需要包括：

域名注冊商的緊急聯系方式(聯系人和電話號碼)

提醒客戶的另一個安全途徑(非email)

同域名注冊商建立常規應急通信流程(如模擬練習)