被吓着了？美国政府推出针对.gov域名的新DNS安全措施

自2019年7月18号开始，美国政府将实施针对所有.gov域名的新DNS安全措施，以帮助降低与未来DNS劫持事件相关的风险。

根据美国总务管理局（GSA）称，DotGov计划将运营.GOV顶级域名（TLD），从而使得美国政府组织，从联邦机构到当地市政当局都可以实施该计划。

DotGov计划主要新的安全措施为，当官方.gov注册商进行DNS更改，域名联系人将自动发送电子邮件警报：

并称在24小时内更改了DNS都会立即响应。

而其中提及的最新的事件指的便是，伊朗针对全球发起的DNS劫持活动，下图为CISA关于DNS劫持活动的风险提示，并且指向的网站中所提及的两份安全厂商的报告，均与伊朗网军APT34所使用的DNSpionage恶意软件有关，而这一切同样与海龟行动存在关联性。

前些日子曾报道过一篇关于疑似来自伊朗国家背景的一支专门从事DNS劫持的攻击团队，其活动被命名为海龟活动，而在他最新的活动中，

当然，海龟行动的攻击范围为中东地区，欧洲，和美国。

而攻击模式前文都提到过了，在此不再重提简单放个图片

照这个通告的意思来看，大概伊朗搞的就是gov域名。

而黑鸟在翻阅DotGov计划的PPT后，发现其无论是针对什么域名，其中所提及的DNS安全措施都具有参考意义。(说句大实话，感觉就是来推销自家的gov域名，让一些城镇单位使用gov，别用com，net这些)

而本次这项新的DotGov计划是由国家网络安全和通信集成中心（NCCIC）1月份发布的全球域名系统（DNS）基础设施劫持活动警报(也就是上面那个)引起的，该中心是网络安全和基础设施安全局（CISA）的一部分。

当时，NCCIC建议网络管理员遵循这套旨在保护其网络免受DNS劫持攻击的最佳解决方案：

• 在域名注册商帐户或用于修改DNS记录的其他系统上实施多因素身份验证。

• 验证DNS基础结构（二级域，子域和相关资源记录）是否指向正确的Internet协议地址或主机名。

• 搜索与域相关的加密证书并撤消任何欺诈性请求的证书。

如PPT中所言

此前，在2018年10月1日，DotGov引入了双步验证，  以增强.gov注册商帐户的安全性，使潜在的攻击者更难以接管帐户并更改DNS域名设置。

7月14日，英国国家网络安全中心（NCSC）也发布了一份咨询报告，描述了与DNS劫持攻击相关的风险，以及组织防御此类威胁的缓解方案。

这些恶意攻击会导致各种其他类型的攻击，从针对常规用户的流量嗅探和网络钓鱼到针对组织的严重攻击，最终可能导致域和服务器的控制丢失。

恰巧近日，Malwarebytes Labs的安全研究人员发现了一个名为Extenbro 的新DNS变更木马。

该恶意软件会阻止访问安杀毒软件厂商的网站，以防止受害者删除释放在其计算机上的广告软件。

更多关于该木马的详情请看参考链接4

参考链接：

1.https://www.nass.org/sites/default/files/2019%20Summer/presentations/presentation-dotgov-summer19.pdf    

2.https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS-Infrastructure-Hijacking-Campaign

3.https://www.bleepingcomputer.com/news/security/us-govt-rolls-out-new-dns-security-measures-for-gov-domains/

4.https://blog.malwarebytes.com/trojans/2019/07/extenbro-a-new-dns-changer-trojan-protecting-adware/

而看完这一切，感概一句。

美国和伊朗之间的网络战，将会是作为旁观者的我们，最好的网络安全攻击和防护教程。

顺便说明，昨日那篇疑似伊朗攻击美国的文章来源疑似来自俄罗斯卫星通讯社的报道，喷子请自行找俄罗斯喷去，谢谢。

近期推荐：

更多情报，请关注后点击菜单栏的知识星球

扫二维码加入每日更新的知识星球，打开威胁情报世界大门

（现在已经开启分享有赏模式，分享的越多，你赚的越多哦，原价299，现价269）

不多BB，求点个在看吧