中国黑客组织SecShow在全球进行大规模DNS探测行动

安全企业Infoblox披露中国黑客SecShow的攻击行动，这些黑客自去年6月开始，利用中国政府运营的教育和科研计算机网络（CERNET）的域名名称服务器（DNS server），在全球进行大规模DNS探测行为，借此识别公开的DNS解析器，并试图收集这些解析器回应的内容。下面由无心号小苏带大家了解具体情况。

究竟这些黑客的目的为何？研究人员表示尚无法确认，但对方收集到的数据，可用于网络犯罪，并让攻击者谋取利益。研究人员指出，这些黑客向世界各地的IPv4、IPv6的IP地址发送DNS查询，他们在去年7月首度发现该组织的活动，同年秋季相关的查询量急速增加。

今年初Infoblox寻求其他研究人员合作来进一步调查，结果发现，这些黑客将名称服务器的组态，设置成从不同的开放解析器进行查询时，每次都会产生随机的IP地址，而这样的组态，竟然影响安全企业Palo Alto Networks旗下的自动化回应解决方案Cortex Xpanse，这套系统放大了（amplifies）DNS查询活动。

为何如此？Infoblox指出这套安全系统将DNS查询的域名名称视同URL，并尝试从域名其中的随机IP地址进一步搜索，一旦包含该品牌的防火墙设备在内的安全系统收到Cortex Xpanse的请求，就会执行URL过滤，而此种过滤工作将会针对域名启动新的DNS查询，使得域名名称服务器回传新的IP地址，导致Cortex Xpanse重复、无限循环地执行相关查询。

Infoblox指出，这样的情况导致SecShow的攻击行动被放大，很容易误导相关研究人员，而他们则是借由自己的递归解析器与其他DNS递归解析器比对数据，而得到相关结果。

他们在去年7月，看到黑客执行了6个查询，后续截至12月，有超过230万个查询几乎由Cortex Xpanse触发。

研究人员指出，在他们之前，已有Dataplane.org及Palo Alto Networks的研究人员发现SecShow的攻击行动，而这些黑客约在5月中旬停止相关活动的迹象，但这并非中国黑客首度对全球进行大规模DNS探测的攻击行动，他们在今年4月披露另一组从事类似攻击的黑客组织Muddling Meerkat，但不同的是，这些黑客疑似具备控制中国防火长城（Great Firewall）的能力。

而对于Infoblox提出的观察分析，Palo Alto Networks也向安全新闻网站Hacker News表示，Cortex Xpanse能排除特定域名，一旦识别新的C2后，就不再对其进行扫描。他们强调，为了判断恶意域名，出现DNS解析活动稍微增加的情况，这套安全系统依照预期正常运行，他们的客户并未受到影响。