7月31日至8月5日，2021年“黑帽”（Black Hat）大会在美国拉斯维加斯召开。其间，网信安全公司“奇才”（Wiz）公布一份报告：“DNS的漏洞使国家级的间谍活动仅需简单地注册一个域名”。这份报告引起业内的高度关注。

据报道，奇才公司成立仅18个月（员工约65人），但技术背景强势。其前身是成立于2012年的Adallom公司，从事云安全的技术研发和服务；2015年7月，Adallom公司被微软公司以3.2亿美元收购，其CEO拉帕波特（Assaf Rappaport）成为微软公司云安全事业部总经理。2020年，拉帕波特再创业，成立奇才公司（Wiz），主要是提供网信安全的服务业务，并以其能力和成果，在目前科技股市处于低迷状态下，被投资人评估市值达到17亿美元。

 

一、概  述

奇才公司这份网信安全报告的背景，是通过对亚马逊向用户提供的AWS云DNS（Route 53）网络服务进行分析时，发现了新的DNS攻击方法，潜在地被利用进行“国家级的间谍活动”（Nation-State Level Spying），所涉及的是简单地注册特定域名。

亚马逊的“Route 53”域名服务系统提供了大约2000个DNS服务器，域名为“ns-852.awsdns-42.net”、“g-ns-812.awsdns-42.net”等。如果注册与某个DNS域名相同的域名，并添加到在亚马逊DNS服务器（Route 53系统）中，将这个域名与受控服务器的IP地址关联，就会产生一些令人难以置信的结果。 

每当DNS客户端向该域名服务器查询自身信息时，数千台DNS设备会自动更新其托管服务中的IP地址，数据将直接被发送到受控服务器的IP地址（即与虚假DNS服务器域名所捆绑的IP地址）。

奇才公司声称，从目前的发现中已获得来自15,000多个组织的DNS流量，其中包括财富500强公司、45个美国政府机构和85个来自其他国家和地区的政府机构；所泄漏的数据包括内部和外部IP地址、计算机名称、用户名和办公地点等元数据。

这些数据进一步揭示，是来自运行Windows操作系统的终端设备的动态DNS数据。显然，这个问题与运行Windows操作系统设备在IP地址改变时，用以寻找和更新DNS主服务器的算法有关。

所泄露的数据可以使任何人都能“一览无遗”（bird's eye view）地了解政府部门和公司内部所发生的行为与状况。而这种能力无异于国家级的间谍，且具备如此能力仅需简单地注册一个（特殊）域名。

为了证明这种新的DNS攻击所产生的潜在影响，奇才公司利用从4万多台终端设备上获得的数据，绘制了一张大型服务公司的员工和位置分布图。

 

奇才公司声称，根据这种定位的映射，能够确定美国一家大型商品贸易公司和一家大型信用金融机构的子公司，在受美国制裁的国家或地区从事业务活动，显然违反了制裁法规或规定。

在这个问题被公布后，亚马逊和谷歌采取了修复措施。但是，其他DNS服务提供商也容易遭受到类似的攻击，这意味着此类攻击（或数据泄露）仍然可能或正在发生。

对此，微软表示，这是“已知的错误配置，当某个单位、部门/机构、机关使用公共DNS递归服务器时就会发生”，而不是漏洞。

业内专家警示，虽然域名服务提供商可以采取一些措施来防止此类事件发生，但是单位、部门/机构、机关（包括行业企业）应通过确保正确配置DNS递归服务器，防止DNS动态更新的失控，以避免类似的数据泄漏。

我国网信安全领域必须引起高度关联性警示和关注的是：

1）目前DNS的服务主要是以“免费”为主，DNS系统软件是以“开源”为主，形形色色的服务商、集成商和代理商是以变通（workaround）形式的“马甲”为主。

各个渠道（环节）都很容易生成利用域名注册进行DNS潜在攻击的漏洞和条件，必须高度重视，严格防范，深入整改，坚决纠正，切不可掉以轻心。

2）内容推送网络（CDN）是基于专属专用的域名服务器，其部署和配置对客户和用户完全透明（不可视、不知情），不仅改变了传统域名服务的体系架构，而且掌握了互联网（Internet，下同）应用的定位和导航、指挥和控制。

亚马逊的“Route 53”、谷歌的“DNS云”，仅仅是其中的某个部分，互联网的大型服务公司都具有自己的域名服务系统DNS，且潜在地相互关联（我们之前发表的文章《Akamai 断服断网深层原因的再警示》曾以事件驱动述及）；国内关键信息基础设施的服务大量被外包、被托管到境外，很容易遭受境外利用域名注册进行DNS潜在攻击，形成境外对我实施“国家级间谍活动”的常态化、简易化、边缘化（即简称ICTS的信息通信技术和服务供应链的交叉、结合部，而并非是传统形式的安全漏洞）。

请注意：在奇才公司所能“窃听”的财富500强公司中，包括中国企业143家（2021年）。其中第二名是中国国家电网公司，中国石油、中国石化、中国建筑集团、中国平安保险、中国工商银行、中国建设银行、中国农业银行、中国人寿保险、中国铁路工程、中国银行、中国铁建、华为投资控股排名在前50名。

3）中国大陆的递归域名服务器在数量和分布上呈现出明显的“非对称性”和“动态变化性”，被称为是网信安全事件中的“异常”。根据美国“影子服务器”（Shadow Servers）公司的实时统计，截至2021年8月20日，全球递归域名服务器（仅53端口/UDP协议）按数量在全球国家/地区的分布前十位是：

 

其中，在中国（大陆）的递归域名服务器按所属自治系统（ASN）的分布（其中，台湾的递归域名服务器主要分布在自治系统3462，作为参考）：

 

互联网的“递归域名服务器”，又被称为是“域名空间的入口”。在已知的一些安全事件中，“递归域名服务器”（包括暗桩、后门、“马甲”）被利用，不仅可以恶意地重定向和劫持网络数据流的传输，而且可以发动难以抵御的DNS放大攻击（DNS Amplification Attack）。在奇才公司发现的案例中，微软公司“推托”问题的根源是，连接公共递归域名服务器的“配置错误”。

因此，无论如何，国家网信安全（特别是关键信息基础设施）决不能忽视域名空间及其构成基础和ICTS供应链的状态和状况，尤其是面对域名体系架构被“延展”、被“撕裂”的现实和挑战，应当尽可能地避免被“惯性思维”所左右的“一亩三分地”意识和作为（或不作为、乱作为）。

 

二、奇才报告（参考译文）

当下，代管DNS服务提供商（例如：亚马逊Route 53、谷歌Cloud DNS和阿卡迈Akamai等）的兴起以及无处不在的远程工作，使DNS这一为全球互联互通而设计的、历经数十年的协议结构体系被延展，并被撕裂出新的漏洞，而这对于终端用户和设备却是透明的。

我们发现，通过一个简单的安全漏洞，可以拦截通过亚马逊和谷歌等代管DNS服务提供商的全球动态DNS流量。从本质上，我们“窃听”了15,000个机构组织（包括财富500强公司和政府部门）和数以百万台设备的内部网络行为和状况。这是有价值情报的一个无底洞，包括：计算机名称、员工姓名和位置，以及关联网络域名的详细信息和暴露在互联网上的接入（访问）点。

我们无法知道这个漏洞是否已经被利用：任何人都可以在过去十多年来漏洞未被发现的情况下收集数据。

然而，我们可以确认，这个安全漏洞仍然是一个活跃的威胁载体。虽然两个主要的代管DNS服务提供商（亚马逊和谷歌）已经修复了这个问题，但是其他DNS服务提供商可能仍然普遍地面临着这个安全漏洞的存在。因此，数以百万计的终端设备仍有可能受到攻击。

 

（一）漏洞发现

在通常情况下，负责监管DNS的主要是两个方面：域名注册商和DNS托管服务提供商。尽管有某些DNS托管服务提供商提供域名注册，但是不应混淆这两种服务。

DNS托管服务提供商一般具有易于使用的自助服务平台，允许客户更新其域名及其映射的域名服务器（或捆绑的IP地址）。客户可以添加所需的任何域名（例如，amazon.com），因为域名本身不应该对网络流量产生任何影响（DNS托管服务提供商并不是权威域名的管理员）；注册域名的一个基本假设是，客户与客户之间是完全隔离的，在DNS上注册的任何内容都不应该对其他客户产生任何影响。因此，亚马逊的域名服务器（Route 53）不会验证我是否注册并拥有域名“amazon.com”（与亚马逊的域名相同）。

我们发现，注册某些“特殊”的域名，特别是域名服务器本身的域名，破坏了客户之间的相互隔离，会对所有使用该域名服务器的其他客户产生意想不到的后果。我们成功地注册了一种类型的特殊域名，但是我们怀疑还有许多其他类型的“特殊”域名，具备产生类似未知后果的未知作用（即“Unknown Unknown”）。

 

（二）具体方法

亚马逊云服务AWS的域名服务器系统（Route 53）拥有大约2,000个DNS服务器，供所有客户使用和共享。我们在Route 53平台上注册了一个与亚马逊DNS服务器同名的新域名。从技术上讲，我们在AWS域名服务器“ns-1611.awsdns-09.co.uk”中创建了一个新的“托管区”，并将其命名为“ns-852.awsdns-42.net”（即与亚马逊的一台DNS服务器同名）。

每当添加一个域名到Route 53时，都会被要求选择四个不同的DNS服务器来管理该域名。我们确保在Route 53平台上注册的任何域名服务器都属于同一服务器。事实上，我们仅在AWS的大约2,000个域名服务器上重复了这个过程，域名服务器的域名“ns-1611.awsdns-09.co.uk”只是其中一个例子（图3）。

 

由此我们部分地控制了“托管区”，并可以将其映射到我们控制的IP地址（服务器）。当DNS客户查询这个域名服务器时（数以千计的终端设备会自动这样做，以更新其管理网络中的IP地址），大量DNS数据就会被直接传输到我们设置的服务器。

 

（三）涉及范围

当我们第一次用与Route 53域名服务器相同的域名注册之后，立即开始收到来自世界各地超过一百万个具有唯一性终端的大量DNS数据。经过分析，我们认识到这是来自运行Windows操作系统机器的动态DNS数据，这些机器正在查询所关联的域名服务器被劫持的状况。当IP地址发生变更时，动态DNS会自动更新其记录。传统上，动态DNS被用于支持大型网络的内部服务，并使用在内网中的服务器。简而言之，我们收到的数据中包含敏感信息，而这些信息是不应该在内部网络之外传输或交换。

被我们“窃听”到的动态DNS数据，来自15,000多个组织机构，包括财富500强公司、45个美国政府部门和85个国家政府机构。这些数据包含大量有价值的情报，例如：内部和外部IP地址、计算机名称、员工姓名和办公地点。

 

（四）如何“窃听”

简单地说，微软Window操作系统使用一种专有的算法来寻找和更新IP地址变更的主DNS服务器。最终，该算法将查询被劫持的域名服务器并获得关联的IP地址。其结果是，由于我们已经将该域名服务器映射到恶意的IP地址，我们开始接收所有的DNS查询数据。

为了更好地理解这个问题现象，设想某公司的一名员工决定在家工作（就像我们大多数人在新冠疫情期间的工作模式），并连接到其家庭WiFi。该员工的工作笔记本电脑从他的家用路由器获得一个内部IP地址，并会尝试找到公司在本地的主服务器，以更新内部IP地址。

最终，用户终端点将尝试从DNS主服务器得到IP地址更新，这是一个管理数以千计客户的AWS共享的域名服务器。但是，亚马逊AWS域名服务器不支持动态DNS更新，因此用户终端点的更新请求失败。

至此，微软Windows操作系统的算法完全按预期工作，而且并没有停止或放弃更新为DNS主服务器IP地址的尝试——这就是问题出现的地方。微软Windows操作系统的算法继续寻求以另一种方式找到DNS主服务器，进而转向查询受控的（恶意的）域名服务器是否有DNS主服务器的记录。

 

在图3中，亚马逊AWS域名服务器响应查询请求的IP地址“1.3.3.7”，是我们预先设置的。这是运行Windows操作系统的终端将自动发送DNS动态更新的主机端点——无意中将其内部 IP地址、计算机名称和其他信息泄露到我们的恶意DNS服务器上。

 

（五）间谍情报

结果开始变得出乎意料。从内部网络泄漏的数据，为网信恶意行为者提供了发起成功攻击所需的所有情报。更重要的是，被泄漏的数据使得任何人都能对公司或政府部门内部发生的事情“一览无遗”。我们将其比作拥有国家级的间谍能力——并且具备这样的能力仅仅需要简单地注册一个域名。

例如，图4是世界上大型的服务公司之一。我们根据从4万个终端收到的DNS数据，绘制了该公司员工数量和办公室的地理位置。

 

我们的窥探并没有就此停止。从“窃听”的DNS数据中，我们能够确定那些涉嫌违反外国资产控制办公室（OFAC）制裁的公司。美国的一家大型商品贸易公司的员工在象牙海岸和缅甸工作，美国的一家大型信用金融机构的子公司在伊朗有一个分支机构（图5）。

 

 

（六）漏洞修复

上述被发现的DNS漏洞似乎是属于边界模糊的“国际水域”（international waters）。目前还不清楚谁应该负责修复这个DNS漏洞。是微软？还是代管DNS的服务提供商？或是每个客户单位部门？

微软可以通过更新其动态DNS算法来提供一个全球性的解决方案。然而，当我们向微软报告这个DNS漏洞时，微软的答复是，他们不认为这是一个安全漏洞，而是一个已知的错误配置，当一个单位或部门应用公共DNS递归服务时，这种错误配置就会导致出现安全问题（漏洞）。

代管DNS的服务提供商也能够采取修补措施，以帮助他们的客户安全地运营。例如，他们可以在允许客户注册新的域名之前，验证该域名的所有权。

但就当前的网信安全态势而言，每个客户（单位和部门、机关和机构、行业和企业）都应该采取必要措施，防止DNS数据泄露。归根结底，客户有责任正确配置和应用其DNS服务器，并确保内部网络的动态DNS更新是被有效管理和常态监控的。

 

三、奇才公司报告的警示和启示

DNS的上述安全漏洞所导致的数据泄露，被作为是“国家级的间谍能力”。并请注意，奇才公司公布的信息，是在亚马逊和谷歌修补了“漏洞”以及微软对此作出反应之后，“有选择”（或是得到“批准”）的部分信息披露。奇才公司的“窃听”方法达到“国家级的间谍能力”，而对于亚马逊、谷歌、阿卡迈等则无须“窃听”即具备了“国家级的间谍能力”！

事实再一次证明：随着信息通信技术和服务（ICTS）供应链的动态演变，必然存在着（或衍生出）未知的安全风险和隐患、威胁和危机。但是，绝不能也不应容忍“意想不到”成为“习以为常”，或麻木不仁。

有效应对网信安全挑战的唯一途径是，直面缺乏底层技术能力以及“深度依赖”的事实和现实，加强风险管理、治理和监管的机制和执行力，勇于“防偏”、善于“少偏”、敢于“纠偏”。

此外，网信安全漏洞并不都是“与生俱来”的天然缺陷（或“零日”，0-day）。随着网络信息空间的技术进步、创新发展，以及ICTS供应链的应用延伸、利益追逐，潜在、新生和陌生的未知漏洞会不断呈现甚至涌现。

无论技术研发公司、服务提供商，无论政府部门和企业（行业），都不能不主动发现分析、关联溯源、探索研究实际存在的网信安全问题（特别是关键信息基础设施的安全威胁和漏洞），不能不加强应对和补救的积极措施、整改和反击（纠偏）的有效举措。

（作者：邱实，网络信息安全技术专家；牟承晋，昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。来源：昆仑策网【原创】，作者授权发布）

【昆仑策研究院】作为综合性战略研究和咨询服务机构，遵循国家宪法和法律，秉持对国家、对社会、对客户负责，讲真话、讲实话的信条，追崇研究价值的客观性、公正性，旨在聚贤才、集民智、析实情、献明策，为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

电子邮箱：gy121302@163.com

更多文章请看《昆仑策网》，网址：

http://www.kunlunce.cn

http://www.kunlunce.com