美国针对.gov域名推出新的DNS安全措施

摘要：自2019年7月18号开始，美国政府将实施针对所有.gov域名的新DNS安全措施，以帮助降低与未来DNS劫持事件相关的风险。

根据美国总务管理局（GSA）称，DotGov计划将运营.GOV顶级域名（TLD），从而使得美国政府组织，从联邦机构到当地市政当局都可以实施该计划。

DotGov计划主要新的安全措施为，当官方.gov注册商进行DNS更改，域名联系人将自动发送电子邮件警报：

并称在24小时内更改了DNS都会立即响应。

而其中提及的最新的事件指的便是，伊朗针对全球发起的DNS劫持活动，下图为CISA关于DNS劫持活动的风险提示，并且指向的网站中所提及的两份安全厂商的报告，均与伊朗网军APT34所使用的DNSpionage恶意软件有关，而这一切同样与海龟行动存在关联性。

小编前些日子曾报道过一篇关于疑似来自伊朗国家背景的一支专门从事DNS劫持的攻击团队，其活动被命名为海龟活动，而在他最新的活动中，黑客攻击劫持了希腊的顶级域名注册商后，还搜索了曝光了他行动的安全厂商的网站，实在令人摸不着头脑。当然，海龟行动的攻击范围为中东地区，欧洲，和美国。

小编翻阅DotGov计划的PPT后，发现其无论是针对什么域名，其中所提及的DNS安全措施都具有参考意义。(说句大实话，感觉就是来推销自家的.gov域名，让一些城镇单位使用.gov，别用.com域名，.net域名这些)

而本次这项新的DotGov计划是由国家网络安全和通信集成中心（NCCIC）1月份发布的全球域名系统（DNS）基础设施劫持活动警报(也就是上面那个)引起的，该中心是网络安全和基础设施安全局（CISA）的一部分。

当时，NCCIC建议网络管理员遵循这套旨在保护其网络免受DNS劫持攻击的最佳解决方案：

1、在域名注册商帐户或用于修改DNS记录的其他系统上实施多因素身份验证。

2、验证DNS基础结构（二级域，子域和相关资源记录）是否指向正确的Internet协议地址或主机名。

3、搜索与域相关的加密证书并撤消任何欺诈性请求的证书。

此前，在2018年10月1日，DotGov引入了双步验证， 以增强.gov注册商帐户的安全性，使潜在的攻击者更难以接管帐户并更改DNS域名设置。

 

7月14日，英国国家网络安全中心（NCSC）也发布了一份咨询报告，描述了与DNS劫持攻击相关的风险，以及组织防御此类威胁的缓解方案。

这些恶意攻击会导致各种其他类型的攻击，从针对常规用户的流量嗅探和网络钓鱼到针对组织的严重攻击，最终可能导致域和服务器的控制丢失。

恰巧近日，Malwarebytes Labs的安全研究人员发现了一个名为Extenbro 的新DNS变更木马。

该恶意软件会阻止访问安杀毒软件厂商的网站，以防止受害者删除释放在其计算机上的广告软件。