新闻快讯
< >

荷兰网络安全公司Fox-IT遭遇中间人攻击

E安全12月21日讯 位于荷兰的IT安全提供商Fox-IT披露,曾在2017年9月遭到不明身份的黑客发起的中间人攻击,攻击持续10个小时24分钟。

攻击过程

Fox-IT表示,黑客劫持了公司的域名,随后以Fox-IT的名义获取SSL证书。之后,黑客将域名指向受控的私有VPS(虚拟专用服务器)服务器,进而执行中间人攻击,接收本应流向Fox-IT域名的流量,凭借SSL证书读取HTTPS连接的内容,随后将用户重定向回真正的Fox-IT服务器。

荷兰网络安全公司Fox-IT遭遇中间人攻击-E安全

黑客仅以Fox-IT的用户门户网站为目标

Fox-IT表示,黑客只对拦截ClientPortal网站的流量感兴趣。攻击者拦截了登录尝试、凭证和发送给ClientPortal的文件,共拦截了9名用户的凭证和12份文件。

受影响用户数量不多的原因在于,Fox-IT在事发5个小时后检测到了这起域名劫持事件和中间人攻击,并禁用了双因素认证服务,从而有效地阻止用户登录并暴露其它重要的文件和数据。

除此之外,Fox-IT迅速通知了受影响的客户,并重置了遭拦截的密码。Fox-IT表示,遭拦截的文件中并不包含“机密”文件,只有少数文件包含敏感信息。其它文件和数据包含手机号码、ClientPortal用户的名称和电子邮箱,以及ClientPortal账户名。

Fox-IT遭遇攻击后如何响应?

Fox-IT表示,行业平均检测威胁所需时间为几周,而他们的速度明显超出平均水平。这家公司还表示已向荷兰执法机构上报了该事件。这起攻击从发生到披露的详细时间如下:

  • 2017年9月16日:攻击者针对Fox-IT的基础设施展开首次探测活动,包括常规的端口  扫描漏洞扫描和其它扫描活动。

  • 2017年9月19日, 00:38:攻击者第三方提供商处修改了fox-it.com 域名的DNS记录。

  • 2017年9月19日, 02:02: 这是Fox-IT能够确定clientportal.fox-it.com仍指向合法ClientPortal 服务器的最后时间,当时流向ClientPortal的流量未遭遇拦截。

  • 2017年9月19日, 02:05-02:15:攻击者临时重定向并拦截了Fox-IT的电子邮件,其目的是为了证明他们在为ClientPortal 注册虚假SSL证书的过程中获取了Fox-IT的域名。

  • 2017年9月19日, 02:21:真正开始启动针对ClientPortal中间人攻击。此时,ClientPortal的欺骗性SSL证书已到位,clientportal.fox-it.com的IPDNS记录已被修改指向国外VPS提供商。

  • 2017年9月19日, 07:25:经Fox-IT判断,fox-it.com的域名服务器已被重定向,而这种更改操作并未经过授权。Fox-IT将DNS设置改回自己的域名服务器,并修改了域名注册账户的密码。由于域名名称系统的缓存和分布式性质,修改需要一定的时间完全生效。

  • 2017年9月19日, 12:45:Fox-IT禁用了ClientPortal登录认证系统的双因素验证(通过文本信息),从而有效阻止ClientPortal用户成功登录后遭遇流量拦截。此外,为了不打草惊蛇Fox-IT仍保持ClientPortal正常运作。此时,从技术角度来讲中间人攻击仍然处于活跃状态,但却也无法接收流量实施拦截,因为用户无法执行双因素验证和登录操作。

  • 2017年9月19日-20日:Fox-IT对此展开完整的调查,同时通知了受影响的所有用户和荷兰数据保护局等相关方。警方为此展开调查。基于Fox-IT的调查,攻击已得到全面控制,该公司正准备在ClientPortal上重新启用双因素认证。

  • 2017年9月20日, 15:38:ClientPortal恢复正常运行。Fox-IT的内部调查工作仍在继续。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。