iT邦幫忙

25

DNS遭入侵,網頁遭殃

ithelp 2008-02-19 14:01:3512017 瀏覽
  • 分享至 

  • xImage
  •  

瀏覽網頁時和其他網路行為一樣需要查閱網域名稱,如果這個網路服務受人入侵、篡改,會有怎樣的後果?
2007年的資安界發生一件妙事:由於微軟人員設定錯誤,MSN的臺灣首頁發生遭駭客轉址的事件。「msn.com.tw」的域名伺服器應指向「dns.cp.msft.net」,微軟人員卻誤指向「dns.cpmsft.net」(少了一個點)。署名為朱利安(Julian)的駭客發現這個疏失後,偷偷註冊了「 dns.cpmsft.net」的網域名稱並動個小手腳,為「msn.com.tw」填上假目標。當使用者連至「http://www.msn.com.tw」時,就會被自動轉址到「http://www.julianhaight.com/msnhack.html#」。不過朱利安並無惡意,他在導向網站上聲明,不會利用此問題從事任何惡意活動。雖然未造成重大損失,但這個MSN轉址事件突顯了一個重要安全問題:域名假造。

網域名稱解析的重要性
對於大部分網站使用者來說,域名解析是個重要關鍵。很少使用者會去背網站的真實IP位址,而許多網址也只以域名提供服務,而不允許使用IP連結。使用者要瀏覽網站時,多半鍵入的是網站網域名稱,像是www.google.com、www.microsoft.com,再仰賴域名解析服務(DNS)來找到網站真正位置。即使利用搜尋引擎來尋找,結果中顯示的也多半是域名網址。若此時域名遭篡改,使用者就會在不知不覺中被轉入偽造網站。

網址嫁接
網址嫁接(Pharming)技術指的就是利用偽造域名的技術來欺騙使用者。常見的手法可分為兩大類:一種是修改本機的hosts檔案,木馬與病毒經常利用此一方式。另一種就是偽造域名,最常用的技巧稱作DNS 快取污染(DNS Cache Poison)。DNS 快取污染的實作通常是針對DNS伺服器的漏洞,讓攻擊者得以任意添加或修改域名記錄。除了DNS 快取污染,攻擊者也可建立假的域名伺服器,或直接入侵現有的域名伺服器主機,藉此影響部分區域的使用者。

攻擊者修改域名的目的,最主要是要將使用者導向偽造網站,或促使連結失敗。最喜歡域名欺騙的當屬廣告網站和競爭廠商了。

廣告網站可藉由修改域名,將瀏覽率高的知名網域(Google、Baidu等),甚至所有查詢失敗的域名解析都導向自己的廣告頁,藉以提高點擊數或不正當地增加曝光率,效益遠比廣告郵件和付費搜尋排名都大得多。競爭廠商更是具有強烈商業動機。舉例來說,若將「A拍賣」的域名改至「B拍賣」的主機,一方面可以減少「A拍賣」的使用者,讓「A拍賣」使用者的信心流失;一方面也可以增加「B拍賣」的使用者數。

另一個偽造域名的目的,則是要避過安全防護機制。舉例來說,網蟲或木馬會搜尋所有防毒廠商的域名,像是將所有知名廠商病毒碼更新網站的域名記錄改為127.0.0.1。當使用者想要更新病毒碼時,就會因為解析錯誤而更新失敗,接下來就是惡意程式大顯身手的時間。除了防毒網站,系統更新網站也是目標之一。不消說,微軟自動更新服務就是首要目標。試想若上例中設定錯誤的,不是MSN臺灣首頁,而是微軟的自動更新網站。當有重大漏洞被公布時,使用者卻因為域名問題,遲遲無法修補作業系統或應用程式,在這個瞬間,就為新網蟲提供成千上萬的跳板。這是偽造域名所帶來的龐大威脅。

與網路釣魚很相似
既然可以阻止更新,是不是也可以反過來利用,將惡意程式埋入使用者主機呢?前年有家B大廠發生過嚴重的資安問題,網站上所有產品的驅動程式都被置換成木馬。B大廠的使用者因為信賴B大廠,即使防毒程式狂叫不已,仍很有自信地安裝這些加料後的驅動程式,因而資料紛紛被盜。

現在駭客更輕鬆了,根本不用大費周章去入侵網站,只要利用網址嫁接技術就可以達到相同效果。駭客將B大廠的域名對應改到自己架設的主機上,再複製B大廠的網頁結構於主機上,就可以讓使用者在瀏覽時察覺不出真假。所有可下載的程式其實都是木馬,只是在網址看來正確,網頁內容又看起來正常的狀況下,瀏覽者實在很難不被騙。

這種手法聽起來很熟悉?是的,網址嫁接本來就是網頁釣魚(Phishing)的兄弟。網頁釣魚最困難的部分就是如何誘騙使用者進入假網站,一旦使用者警覺性很高,網址一有不對勁就離開,網頁釣魚就很難成功。但有了網址嫁接協助,駭客根本不用費神申請類似網址或縮址,也不用發信或寫廣告文章一個個去欺騙使用者。只要直接改掉域名記錄,大批使用者就會自動上門。若前面的MSN例子發生在各類交易與拍賣網站身上,像是國外駭客最覬覦eBay或Paypal等,駭客就可輕易利用假網站取得使用者的帳號與密碼。

網路銀行也是重點目標之一,尤其是採用SSL機制的網站。網址嫁接是中間人攻擊(Man-in-The-Middle)的重要工具之一。當使用者連到偽造主機後,偽造主機會發出憑證給使用者要求進行SSL加密。

懂得密碼學的讀者可能會問,駭客怎麼可能會有真實網銀的私密金鑰來處理憑證呢?其實駭客迴避的方法很多種,像是複製真實網站的憑證發給使用者,但是其實並沒有用到SSL加密,全程用明文傳輸。或者是直接發出沒有經過公開憑證中心簽署過的偽造憑證,反正大部分使用者看到SSL警告訊息,都已經習慣性按下確認略過。使用者看到SSL後,往往就認為網站很安全,而安心進行交易,殊不知,交易對象已經變成駭客,交易過程加密得再安全也是沒用。

愈接近使用者端、愈偏區域性的域名欺騙,通常愈難以被發現。雖然域名伺服器入侵或修改域名必須具備一定條件才可達成,但是成功後,用戶和被偽造的域名註冊人幾乎都很難察覺,潛在風險難以量化。惟域名伺服器管理者多加小心,才不會害自己公司的同事整批成為網址嫁接受害者。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
5min
iT邦好手 3 級 ‧ 2008-02-19 14:42:28

是壓!微軟那次DNS危機,所幸那位駭客無意把事情搞大,沒多久就解決了,不然那時大家還真的想看看微軟該怎麼辦! ㄏㄏ

保護自己公司網域及DNS是IT人員的基本責任。

0
HeChien
iT邦新手 3 級 ‧ 2008-02-20 11:30:40

不過要發現這種狀況,還是要有一定程度的觀察力跟耐心吧
沒事就用nslookup查網域?

0
john651216
iT邦研究生 1 級 ‧ 2008-03-27 10:06:40

DNS 對公司是營運的命脈,IT人員無時無刻要注意關查,並且配合安全閘道器,我想應該會長命百歲

0
john651216
iT邦研究生 1 級 ‧ 2008-04-23 17:32:43

謝謝分享

0
鐵殼心
iT邦高手 1 級 ‧ 2008-04-23 17:35:17

看樣子DNS掛在外面也是要小心的, 這個要列入定期檢查項目中.

0
skite
iT邦大師 5 級 ‧ 2008-04-23 18:24:30

微軟的人也太不小心了,還好該名駭客沒有惡意,不然損失可真是難以估計啊…

0
jease
iT邦研究生 1 級 ‧ 2008-04-24 12:11:35

連微軟也出這種包,真是不應該....

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-24 18:38:11

DNS 比較少成為攻擊標的,這算是有創意的

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-25 06:58:22

駭客真厲害

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-25 10:32:31

微軟需改進讓駭客變更強

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-25 17:45:22

微軟叫我如何相信你?

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-18 00:05:42

的確是微軟先讓人有機可趁的,真不可靠

0
albert0405
iT邦研究生 3 級 ‧ 2008-08-20 13:20:40

原來網頁綁架是有關於DNS設定阿
真是感謝分享啦

0
davistai
iT邦大師 1 級 ‧ 2008-08-20 15:37:03

嗯,多謝分享!

0
xxxyyyzzz
iT邦研究生 1 級 ‧ 2009-01-12 09:27:44

謝謝分享

0
gkkangel
iT邦好手 1 級 ‧ 2009-02-05 09:00:00

謝謝分享

【**此則訊息已被站方移除**】

我要留言

立即登入留言