iT邦幫忙

14

MSN無法登入,連結首頁被綁架到大陸去,ISP DNS被汙染了!!

你們家的User最近MSN登不進去嗎??
連結台灣入口網站,被綁架到大陸去嗎??
我們家也發生了~ @@"

請看新聞報導:
初步判斷應為零時差攻擊

趨勢科技資深技術總監戴燊表示,原則上無法防禦DNS綁架攻擊,因為問題點並非出自於用戶端的電腦或系統,而是受到更上層遭到污染的DNS影響所致。但為何該轉址行為會不定時出現,目前尚無定論。某位不願具名的資訊安全專家推估,可能是因為網路骨幹的DNS服務是由多臺DNS伺服器同時運作,某臺 DNS伺服器遭到入侵綁架,因此只有當使用者發出DNS查詢要求時,輪詢到該臺被污染的DNS伺服器才會出現轉址現象。
http://news.networkmagazine.com.tw/secruity/2009/03/05/11128/

DNS遭攻陷,多家知名網站慘被攔截轉址
謝至恩/報導 2009/03/5 上午11:20

從3月2日上午開始,多家知名網站如C|NET Taiwan與ZDNET Taiwan、臺灣MSN(tw.msn.com)等,一進入其網站首頁或網站中的不特定連結,均會被攔截轉址到某特定位於中國大陸主機的網頁。

根據部分使用者表示,透過IE或Firefox瀏覽器開啟特定網站時,原先正常的網頁被轉址到http://www.dachengkeji.com/artical/index.htm網頁(疑有惡意程式碼,請勿隨意開啟),該網頁內容編碼為簡體中文GB碼。

截至3月4日下班前,該問題網頁尚無加入任何惡意程式碼,但隨即在3月4日晚間7點多,該網頁追加一個跳出式網頁訊息,證明該網頁正在演化中,有可能會隨時增加惡意程式碼。果不其然,至3月5日凌晨,該問題網頁開始加入惡意程式碼,正式成為惡意網頁,開始在特定區域肆虐。

案情並不單純

由於遭到綁架轉址的網站均為國內知名網站,因此一時間引起許多使用者的恐慌,以為自己的電腦遭到入侵或是綁架。然而該現象遍及多家網站與多位使用者,顯然並非單一網站遭到入侵或攔截。據國內多位安全專家表示,可能是ISP的DNS伺服器遭到入侵綁架,不定時回報錯誤的IP位址給查詢DNS的使用者。事實上,2007年9月6日,微軟MSN臺灣地區首頁也傳出因微軟DNS設定錯誤而遭到轉址的事件,由於僅僅是技術上的瑕疵,微軟也立即修復該錯誤,因此未傳出災情。

然而,根據編輯部進一步測試,若直接輸入zdnet.com.tw的IP位址(202.176.217.17),不經過DNS查詢,仍然發生連線遭到攔截被轉址到無關的中國網頁去。

另一方面,該網頁轉址攻擊行為並不固定攻擊某些特定網址,而是針對不特定使用者,特定網站不定時發生轉址的現象,使得追蹤查緝的行動更為困難。

初步判斷應為零時差攻擊

趨勢科技資深技術總監戴燊表示,原則上無法防禦DNS綁架攻擊,因為問題點並非出自於用戶端的電腦或系統,而是受到更上層遭到污染的DNS影響所致。但為何該轉址行為會不定時出現,目前尚無定論。某位不願具名的資訊安全專家推估,可能是因為網路骨幹的DNS服務是由多臺DNS伺服器同時運作,某臺 DNS伺服器遭到入侵綁架,因此只有當使用者發出DNS查詢要求時,輪詢到該臺被污染的DNS伺服器才會出現轉址現象。

使用者如何自救?

目前為止,根據各論壇網站的討論,傳出災情使用者多數使用HiNET的網際網路服務,但也有少數使用者回報使用3.5G上網也會發生網址綁架,初步判斷使用臺灣的公用DNS主機容易遭到攻擊,使用者可以先將網路連線設定中的DNS位址,改為美國DNS主機如OpenDNS所提供的服務位址(208.67.222.222與208.67.220.220)。企業用戶可先將自家DNS主機的上層DNS位址改為OpenDNS所提供的DNS服務位址。根據本刊編輯部測試,的確不再發生網址綁架的現象。

根據Whois反查網域的資料,可得知該網域登記代表人為xinfazhang,登記在中國河南省,並登記一組中國大陸地區電話號碼,但根據編輯部試撥的結果是空號,顯然該Whois所登記的資料為假資料,但無法證明dachengkeji.com為此次攻擊事件的發起者。

截至目前為止,尚無ISP或其他資訊安全廠商針對該轉址事件的正式說明,據瞭解相關單位已經開始追查攻擊來源與遭污染的DNS主機,若有進一步消息,本刊將繼續追蹤報導。


0
海綿寶寶
iT邦大神 1 級 ‧ 2009-03-05 21:26:06

明明是台灣的網路專業網站
卻在首頁中連到大陸網站的 javascript
http://www.cssrain.cn/demo/JQuery+API/jquery-1[1].2.1.pack.js
實在沒有必要

下面網址不必輕易嘗試
海綿寶寶是有練過的...
http://news.networkmagazine.com.tw/secruity/2009/03/05/11128/

zhongcetw iT邦研究生 2 級 ‧ 2009-03-05 21:42:07 檢舉

真的有~ @@" 我看到了~
<script type="text/javascript" src="http:// www.cssrain.cn/demo/JQuery+API/jquery-1[1].2.1.pack.js"></script><!-- menu javascript -->

0
zhongcetw
iT邦研究生 2 級 ‧ 2009-03-06 09:51:41

第二篇報導:

神秘網頁轉址事件 疑為新型態攻擊手法

ZDNet記者蔡宜秀/台北報導 2009/03/05 20:36:03

關於CNET、ZDNet、MSN等知名網站的網頁疑遭轉址攻擊一事,資安專家表示,該事件有可能是新型態的網路攻擊手法。

「就微軟的追查結果來看,CNET與MSN網站遭網頁轉址攻擊一事,比較像是駭客在實驗新的網路攻擊手法,」微軟亞太區全球技術支援中心專案經理林宏嘉說。

他進一步解釋,從部分網友在瀏覽器上輸入MSN或CNET等網站網址或者是IP等方式連結該網頁都會被攔截轉址到某特定網頁 (http://www.dachengkeji.com/article/index.htm)、該轉址網頁內容不斷改變(從純文字連結轉變成圖文連結),以及該轉址網頁的某些連結含有惡意程式等事情來看,整個事件並非單純的業者遭受駭客攻擊,比較像是駭客正在實驗新型態的攻擊手法。

CNET與MSN網頁並未遭到駭客綁架。網路上於昨(4)天陸續傳出打開MSN台灣網頁或進入CNET Taiwan網站時,會被導引至大陸網頁,針對該事,CNET位於新加坡的區域總部表示網頁伺服器並沒有遭受攻擊;而微軟也表示內部系統沒問題。

導致網頁轉址攻擊行為發生的原因仍是未知數,有些部落客自行作了追查;另有IT媒體則引用專家說法,將問題指向攻擊事件發生的根本原因出在電信業者的DNS主機遭攻擊。對此,林宏嘉與知名資安部落格「大砲開講」站長邱春樹等資安專家則有不同的看法。

「導致該事件發生的原因,可能是電信業者的DNS主機遭攻擊,也可能是DoubleClick遭攻擊等,至今仍無法確定。」邱春樹說,不定頻率的網頁轉址攻擊行為將導致相關業者無法確切的追查出駭客的攻擊的手法(路徑),也因如此,無法指出問題到底是發生在誰身上(即誰被攻擊)。

專家認為,此事需要網友、網路骨幹與相關服務供應商一同查緝來源。

「不定頻率的網頁轉址攻擊手法使得相關業者難以單靠己力進行追緝。」微軟的林宏嘉指出,截至今日,尚未有人可以明確指出導致該事件發生的原因,面對該狀況,除需要網路骨幹與相關服務供應商通力查緝外,也需要網友回報其是如何遭受網頁轉址攻擊。

「由於目前仍未查明為何會有網頁轉址攻擊事件發生,建議網友不要因為一時好奇點選轉址網頁內的連結。」他說。

0

有看有保佑,謝謝分享咯!

0
zhongcetw
iT邦研究生 2 級 ‧ 2009-03-10 09:55:17

最新消息:

中華電信:與神秘網頁轉址攻擊無關

ZDNet記者蔡宜秀/台北報導 2009/03/09 20:02:03

中華電信表示,導致CNET/ZDNet與MSN網頁遭轉址攻擊一事,問題不在中華電信。

「就上週四(5)與今(9)日的檢測,中華電信並沒有觀察到任何異常的路由指向(traceroute)。」中華電信Hinet資安辦公室主任吳怡芳於今(9)日受訪時表示,從網友或媒體舉證資料來看,只能證明中華電信的路由是指向最短路徑(Shortcut),而不是遭受轉址攻擊。「中華電信仍持續關注該事件,若有發現任何會危及使用者的攻擊事件發生,都會作立即因應。」她說。

針對網路盛傳CNET/ZDNet與MSN網頁遭轉址攻擊與骨幹網路業者設備/架構遭攻擊有關,中華電信忙消毒─未發現任何異常轉址行為發生。

對於IT媒體與網友表示網頁轉址攻擊疑為中華電信遭中間人攻擊(man-in-the-middle attack)一事,中華電信直呼冤枉。「導致man-in-the-middle attack的原因有二─內賊與基礎設備遭攻擊,但經中華電信調查,沒發現任何異狀。」吳怡芳指出,根據中華電信的內部監控系統,並未監測到基礎設備因人為關係或者是因設備漏洞遭攻擊而引發的網頁轉址現象出現。

「若真的是路由器等基礎設備發生問題,事態將變得極為嚴重,這也是中華電信持續監控與本波網頁轉址攻擊相關訊息的原因。」她說。

0
zhongcetw
iT邦研究生 2 級 ‧ 2009-03-10 09:55:42

接上一篇:

專家認為網頁轉址攻擊目的可能是為了賺取廣告費用。擅長滲透分析的資安專家Fyodor Yarochkin指出,從轉址網頁設有Google Ads一事可猜測,攻擊者的目的在於透過偽IP攻擊(Non-Blind Spoofing)等方式,吸引網友點擊、賺取廣告分紅。「不過,目前的當務之急在於找出被攻擊者控制的路由器/節點,免得有更多節點淪陷,再者,那些欲透過Google Ads賺取廣告費用者,也可能只是這個攻擊者的客戶。」他指出。

「攻擊者的目的應該是在實驗,而不是以賺取廣告費用為主,」微軟亞太區全球技術支援中心專案經理林宏嘉指出,會選擇 CNET/ZDNet與MSN網頁,應該是攻擊者欲蒐集將複合式攻擊手法運用在流量大的網頁時,可能發生的一些狀況,「如相關業者得花多少時間注意到該問題,以及推敲出導致該事件發生的可能原因等。」林宏嘉舉例道。

針對本波網頁轉址攻擊威脅尚未解決一事,資安專家表示,防止網頁轉址攻擊事件擴大的根本辦法─健全廠商的通報機制。「從CNET/ZDNet與MSN網頁遭轉址攻擊趨緩一事來看,攻擊者應該已經取得所需資訊,」林宏嘉指出,為避免目前仍無解(指攻擊路徑等)的網頁轉址攻擊一事擴大─攻擊者能控制更多網路骨幹業者的基礎設備等,除建議網路使用者定期上更新程式與不要點選陌生網頁外,還需建立一套完善的廠商通報機制。

「為預防事態變得更為嚴重,當前之急是在最短時間內找出下一波攻擊的特徵。」他說。

0

哇!看來事情越來越複雜,越來越大條了!資安....

0
zhongcetw
iT邦研究生 2 級 ‧ 2009-03-10 18:00:18

比較科學的研究報告:

http://armorize-cht.blogspot.com/2009/03/blog-post.html

[攻擊技巧]
(1) None-blind spoofing,而這也表示攻擊程式位於從受害者到受害網站之間的路徑上,可以監聽流量。
(2) 有些 TCP/IP stack 在實做上的缺失(bug),目前測試結果微軟的系統有此缺失,但是預計還有其他作業系統會有此缺失。

[攻擊特色]
(1) 攻擊程式位於route中,很可能在backbone上,故影響範圍廣大。
(2) 一個封包就可以攔截session。
(3) 改版後,一個網址只會轉址一次,造成追蹤困難。
(4) 手法並非目前很多專家說的「DNS感染」。

[遭鎖定轉址的網域]
根據網友的回報,目前已知遭鎖定轉址的網域有:
tw.msn.com(我們自己有測試成功)
www.msn.com.tw
www.gogrok.com(我們自己有測試成功)
taiwan.cnet.com(我們自己有測試成功)
www.orzteam.com
www.92an.com

[轉址到的網域]
轉址到的網域有:
www.dachengkeji.com
www.zhonglie.org
www.yyge.com
www.ganji.com

[pcap封包下載]
我們有msn.com、cnet.com以及gogrok等三份被spoof時錄下來的封包,可以聯絡我們索取(wayne鼠armorize點com)。

[如何防護]
由於為路徑中有節點遭控制,使用者不容易自保,建議利用https而非http連結網站(如果網站有提供https的話)。如果擔心機器已經因為被轉向而遭受攻擊,被植入惡意程式,可以來信索取阿碼科技的免費Archon Scanner:info鼠armorize點com。

0
nikwu43
iT邦好手 1 級 ‧ 2009-03-16 22:23:17

之前的公司...
內部電腦ip都被改了...
几乎都快全變跳板了...

我要留言

立即登入留言