谁掌握了corp.com,谁就拥有了被动攻击全球企业网络的超级僵尸网络,不计其数的企业内部设备,瞬间都会主动投怀送抱,成为这个僵尸网络的肉鸡。是什么让corp.com成为史上最危险的域名?其拥有者为何要出售这个“火云邪神”级别的域名?这对全球企业网络安全意味着什么?近日网络安全知名博主Krebs撰文深入分析此事。
近日,corp.com的拥有者决定以170万美元的价格出售该域名。这个消息不亚于一颗钻地核弹,表面上云淡风轻,但懂的人自然会尿。Corp.com这个域名为何会如此邪门?
我们先回顾一下Corp.com的前世今生。
做域名如买口罩,1994年,作为早期的域名投资者,美国版蔡文胜迈克·奥康纳(Mike O’Connor)以白菜价将几个国宝级珍稀域名据为己有,包括bar.com、cafes.com、grill.com、place.com、pub.com和Television.com等。26年来,奥康纳时不时抛售个把域名,妥妥维持其亿万富翁的生活品质。但26年间,corp.com这个域名一直是奥康纳讳莫如深的、最神秘敏感的非卖品。准确来说,这个域名不是奥康纳不想卖,也不是没买家,而是不敢卖!
Corp.com之所以敏感,是因为经过多年的技术测试,这货就是个“魔戒”,任何人拥有它,就可以访问全球数十万个企业信息系统中的海量的密码流、电子邮件和其他专有数据流。
魔戒出水,只有微软能压得住
如今,年逾古稀,生死看淡,开始搞资产简化“断舍离”的奥康纳,终于鼓足了勇气不管不顾地宣布出售corp.com。170万美元的定价对于如此高大上的四字母商务范顶级绝版域名来说,基本算是半卖半送了。没有立马成交的原因与价格无关,因为这玩意跟限量版百达翡丽手表和科尼赛克跑车类似,不是你想买就能买,也不是你加价到1500万就能砸下来的。就是你搞关系买下来,这么凶的域名,也不是一般的肉体凡胎能“压得住”的。
奥康纳说,他希望微软公司能收购它,如果这个域名落入网络犯罪分子或者国家黑客的手中,后果不堪设想。
奥康纳并非危言耸听,他之所以直接点名微软,是因为corp.com的巨大杀伤力不亚于网络安全界的切尔诺贝利,一切都源于微软的一个“历史性错误”,也只有微软能够化解。
自从比尔·盖茨创建Windows帝国以来,Windows系统都以一种独特的方式处理本地网络上的域名解析。公司内网上的Windows计算机使用Active Directory(动态目录)来验证该网络上的其他内容,Active Directory是Windows环境中各种与身份相关的服务的统称。系统要素彼此查找需要借助一个名为DNS名称传递(DNS name devolution)的Windows功能,这是一种网络速记方法,可以轻松查找其他计算机或服务器,而无需为这些资源指定完整的合法域名。
例如,如果一家公司运行一个名为internalnetwork.example.com的内部网络,而该网络上的员工希望访问一个名为“drive1”的共享驱动器,则无需键入“drive1.internalnetwork.example.com”进入Windows资源管理器,仅键入“\\drive1\”就足够了,Windows会负责其余的工作。
但是,如果内部Windows域无法映射回企业实际拥有和控制的二级域名,事情将变得不妙。不幸的是,在支持Active Directory的Windows的早期版本(例如Windows 2000 Server)中,默认或示例Active Directory路径被指定为“corp”,并且许多公司采用了此默认设置,而没有修改成自己公司的二级域名。
使事情更加复杂的是,一些公司随后在这种错误的“邮政编码”环境下建立(和/或整合)了庞大的企业网络,一切都木已成舟,尾大不掉。
麻烦的根源来自名称空间冲突(namespace collision),发生此类冲突时,原本只打算在公司内部网络上使用的域名最终与外部互联网上正常解析的域名地址发生重叠,敏感数据瞬间流向外网,“分享”到了corp.com站点上,后果可想而知。
在90年代台式机加显示器重量普遍超过30斤的年代,员工不大可能捧着电脑到处转悠,但在当下的移动办公时代,这个潜伏的安全问题被无限放大了。 想象一下,那些配置Active Directory默认网络路径为corp的公司员工将公司笔记本电脑带到本地星巴克时,会发生什么情况?
也许员工笔记本电脑上的某些资源仍会尝试访问该公司内网的corp域名,但是由于Windows系统的“DNS名称传递”功能, 电脑还会通过星巴克无线连接去互联网上的“正牌”corp.com寻找相同的资源。
这意味着corp.com域名的控制者,可以“被动拦截”来自成千上万台计算机的私人通信,任何在企业内网Active Directory中分配corp域名的企业员工,在外网远程办公或者移动办公时,都有可能会向corp.com“喂送”数据。是的,corp.com的拥有者什么都不用做,一行攻击代码都不用写,就会有海量敏感企业数据踏破门槛“投怀送抱”。
开箱即用的超级企业僵尸网络,有人要吗?
安全专家杰夫·施密特(Jeff Schmidt)对DNS名称空间冲突进行过长期研究,其中部分研究得到了美国国土安全部的资助。作为分析的一部分,施密特说服奥康纳推迟出售corp.com,这样他和其他专业人士就可以更好地了解和记录每天流向该域名的流量和类型。
在对2019年流向corp.com的企业内部流量进行的八个月分析中,施密特发现超过375,000台Windows PC正在尝试发送信息-包括尝试登录内部公司网络以及访问网络上的特定共享文件。
在测试期间,施密特的公司JAS Global Advisor一度模拟本地Windows网络登录和文件共享环境接管了对corp.com的连接请求。
结果吓到了施密特。
一位与JAS合作过的著名攻击测试员指出:在实验过程中,“泄露的证书如瓢泼大雨”,是平生未见之壮观景象。
同样,JAS也曾临时将corp.com配置为接受传入的电子邮件。
施密特说,他和其他人得出的结论是,最终控制corp.com的人可能会立即拥有一个开箱即用的遍布全球的企业计算机僵尸网络。
事实上奥康纳本人也曾做过类似的“危险实验”,出于好奇心,奥康纳曾短暂地在corp.com上启用了一个电子邮件服务器。结果立刻开始收到大量敏感电子邮件,甚至包括向美国证券交易委员会提交的公司财务文件的预发布稿、人力资源报告以及各种令人恐惧的信息。”奥康纳说:“有一阵子,我会尝试回信那些犯了这些错误的公司,但是大多数公司都不知道该怎么办。所以我终于把邮件服务器关了。”
令人头痛的“核废料”清理
对于施密特的corp.com流量调查结果,微软选择回避媒体问询。但是微软的一位发言人发布了一份书面声明,承认“我们有时在命名文档中将‘corp’作为标签使用。”
该声明写道:“我们建议客户设置二级域名,以防止路由到互联网。”该文章链接到Microsoft Technet上有关在Active Directory中设置域的最佳做法的文章。
多年来,Microsoft已发布了数个软件更新,以帮助减少名称空间冲突的可能性。
但是几乎没有任何易受攻击的企业听从微软的建议部署这些修复程序。原因主要有两点:首先,这样做需要企业在一段时间内同时关闭其整个Active Directory网络。其次,根据微软的说法,补丁程序可能会破坏或拖慢企业日常运行所依赖的许多应用程序。
面对这两种情况中的任何一种,大多数受影响的公司都不可能为了消除这个纸面上的风险去冒更大的风险更新补丁。
奥康纳说道:
更加“诡异”的是,根据施密特提交给工作组的关于名称空间冲突的报告,监控corp.com的过程中收到了一些疑似来自微软自己内部网络的查询。感兴趣的读者可参阅安全牛之前的文章:“微软的黑客天团”。
施密特说:
奥康纳透露,数年前微软曾出价2万美元购买corp.com域名。任何一个有两周以上互联网从业经验的人知道,微软的这个出价不是买,是抢。
当有人问奥康纳为什么不高风亮节,干脆把corp.com送给微软时,奥康纳说,他认为这家软件巨头应该对其产品和错误负责。毕竟最初是微软建议大家在内网地址中统一使用corp,填坑还需挖坑人。
奥康纳指出:“在我看来,微软应该站出来承担自己犯的错误。”“但是他们对此并没有表现出真正的兴趣,因此我也没有兴趣将其赠送给微软。我真的不需要钱。这域名基本就是核废料堆,我不想将其传递给我的孩子并给他们增加负担。我的挫败感是:这么重要的一个域名,好人不关心,坏人挤破门。”