位于荷兰的it安全提供商fox-it披露,曾在2017年9月遭到不明身份的黑客发起的中间人攻击,攻击持续10个小时24分钟。
攻击过程
fox-it表示,黑客劫持了公司的域名,随后以fox-it的名义获取ssl证书。之后,黑客将域名指向受控的私有vps(虚拟专用服务器)服务器,进而执行中间人攻击,接收本应流向fox-it域名的流量,凭借ssl证书读取https连接的内容,随后将用户重定向回真正的fox-it服务器。
荷兰网络安全公司fox-it遭遇中间人攻击-e安全
黑客仅以fox-it的用户门户网站为目标
fox-it表示,黑客只对拦截clientportal网站的流量感兴趣。攻击者拦截了登录尝试、凭证和发送给clientportal的文件,共拦截了9名用户的凭证和12份文件。
受影响用户数量不多的原因在于,fox-it在事发5个小时后检测到了这起域名劫持事件和中间人攻击,并禁用了双因素认证服务,从而有效地阻止用户登录并暴露其它重要的文件和数据。
除此之外,fox-it迅速通知了受影响的客户,并重置了遭拦截的密码。fox-it表示,遭拦截的文件中并不包含“机密”文件,只有少数文件包含敏感信息。其它文件和数据包含手机号码、clientportal用户的名称和电子邮箱,以及clientportal账户名。
fox-it遭遇攻击后如何响应?
fox-it表示,行业平均检测威胁所需时间为几周,而他们的速度明显超出平均水平。这家公司还表示已向荷兰执法机构上报了该事件。这起攻击从发生到披露的详细时间如下:
2017年9月16日:攻击者针对fox-it的基础设施展开首次探测活动,包括常规的端口 扫描漏洞扫描和其它扫描活动。
2017年9月19日, 00:38:攻击者第三方提供商处修改了fox-it.com 域名的dns记录。
2017年9月19日, 02:02: 这是fox-it能够确定clientportal.fox-it.com仍指向合法clientportal 服务器的最后时间,当时流向clientportal的流量未遭遇拦截。
2017年9月19日, 02:05-02:15:攻击者临时重定向并拦截了fox-it的电子邮件,其目的是为了证明他们在为clientportal 注册虚假ssl证书的过程中获取了fox-it的域名。
2017年9月19日, 02:21:真正开始启动针对clientportal中间人攻击。此时,clientportal的欺骗性ssl证书已到位,clientportal.fox-it.com的ipdns记录已被修改指向国外vps提供商。
2017年9月19日, 07:25:经fox-it判断,fox-it.com的域名服务器已被重定向,而这种更改操作并未经过授权。fox-it将dns设置改回自己的域名服务器,并修改了域名注册账户的密码。由于域名名称系统的缓存和分布式性质,修改需要一定的时间完全生效。
2017年9月19日, 12:45:fox-it禁用了clientportal登录认证系统的双因素验证(通过文本信息),从而有效阻止clientportal用户成功登录后遭遇流量拦截。此外,为了不打草惊蛇fox-it仍保持clientportal正常运作。此时,从技术角度来讲中间人攻击仍然处于活跃状态,但却也无法接收流量实施拦截,因为用户无法执行双因素验证和登录操作。
2017年9月19日-20日:fox-it对此展开完整的调查,同时通知了受影响的所有用户和荷兰数据保护局等相关方。警方为此展开调查。基于fox-it的调查,攻击已得到全面控制,该公司正准备在clientportal上重新启用双因素认证。
2017年9月20日, 15:38:clientportal恢复正常运行。fox-it的内部调查工作仍在继续。