被遗忘的DNS记录如何成为网络犯罪的温床

Hazy Hawk是一个精通DNS技术的威胁组织，专门劫持知名组织废弃的云资源（如S3存储桶和Azure端点）。虽然域名劫持可以通过窃取账户实现，但最令人关注的劫持方式是利用DNS错误配置。由于DNS作为威胁向量未被广泛认知，这类攻击可以长期不被发现。

攻击手法与技术细节

CNAME劫持机制

CNAME记录是一种DNS记录类型，它将一个域名（别名）映射到另一个域名（规范名称）。当DNS CNAME记录存在但指向的资源不存在时，该记录被视为"悬空"。攻击者通过注册缺失的资源来劫持域名。

传统悬空CNAME攻击利用DNS记录指向未注册域名的情况。但Hazy Hawk并非传统劫持者，劫持云资源比寻找NXDOMAIN响应复杂得多。每个云提供商处理缺失资源的方式不同，大多数会返回IP地址而非NXDOMAIN。

技术挑战与解决方案

发现易受攻击的DNS记录是一个复杂问题，表明Hazy Hawk必须访问大型被动DNS服务。这些劫持依赖于错误配置的DNS记录，可能涉及通过正常互联网探测不可见的链式多个DNS记录。

攻击链中恶意推送通知的集成起到了力量倍增器的作用。Hazy Hawk使用分层防御来保护其操作不被发现，包括：

• 劫持与云资源连接的高知名度信誉域名的子域名
• 混淆URL
• 使用其他信誉网站内容作为初始页面基础
• 通过至少一个其他URL使用知名服务进行重定向
• 重定向到设计用于隐藏最终着陆页的TDS

实际攻击案例分析

CDC域名劫持事件

2025年2月，Hazy Hawk成功控制了美国疾病控制中心（CDC）的子域名。所有URL都位于主域名的奇怪子域名ahbazuretestapp[.]cdc[.]gov上。DNS查询显示该子域名别名指向一个Azure网站，而Azure域正是劫持发生地。

云资源识别挑战

识别废弃云资源比识别未注册域名更具挑战性。像Azure这样的主要云提供商实施了特定机制来防止劫持，即使存在悬空记录。Hazy Hawk可能进行大量手动工作来验证易受攻击的域名。

防御与保护措施

域名所有者防护

针对Hazy Hawk和类似DNS劫持威胁参与者的最佳防护是良好管理的DNS。建议建立流程，在资源关闭时触发通知以删除DNS CNAME记录，并跟踪活动资源。

终端用户防护

保护终端用户免受Hazy Hawk侵害的最佳方式是通过防护性DNS解决方案。当防护性DNS产品中使用的威胁情报设计用于跟踪和检测TDS参与者时，Hazy Hawk和其他攻击者即使更改域名也能被阻止。

用户教育

敦促用户拒绝来自未知网站的通知请求。如果开始接收消息，可以在浏览器设置中关闭不需要的通知。

技术指标

文章提供了详细的恶意指标列表，包括：

• 被劫持的第二级域名（SLD）
• 首次重定向URL示例
• TDS域名示例
• 推送通知请求域名示例
• 推送通知域名示例
• 恶意着陆页域名示例

这些技术细节为安全研究人员和网络防御者提供了宝贵的威胁情报，有助于检测和预防类似攻击。