[遲]Day 19 DNS劫持

第 11 屆 iThome 鐵人賽

Security

不小心飛進資安之旅(學習筆記)系列第 19 篇

11th鐵人賽

羽洛燁

2019-12-05 11:00:14

9078 瀏覽

分享至

DNS劫持-手法

　　DNS劫持（也稱為DNS重定向）是一種DNS攻擊，攻擊者損壞DNS Server和更改DNS設定，來請求對目標Web Server重定向到他/她自己的惡意伺服器，DNS查詢被錯誤地解析，以便意外地將用戶重定向到惡意站點

DNS欺騙：
一種從合法網站重定向到惡意網站，例如www.google.com變成google .attacker.com，攻擊者破壞DNS server(利用Ddos攻擊)並以這種方式欺騙合法網站並將用戶重定向到惡意網站

DNS Spoofing(DNS欺騙)
1. 當Client 請求網站連線，送給DNS Server
2. 攻擊者已經注入假的DNS
3. DNS解新到假的網站，將client指向假的網站
緩存(Cache)中毒：
cache中毒是實現DNS 欺騙的另一種方式，攻擊者透過插入偽造的DNS來毒害DNS Cache 包含同一網域的備用ip，DNS server 將網域解析為欺騙性的網站，從正常訪問頁面引導到釣魚網頁等通過偽造郵件和其他的server服務獲取訊息，直到刷新cache。
運營商的劫持：
是不良供應商為了推廣業務或者進行額外的收益，利用DNS解析設定，將頁面綁架至其他頁面或插入許多廣告

DNS劫持-流程

正常DNS查詢流程：
1. user 請求連線到google .com ，DNS解析找到對應的IP，回應給User
2. User連線到DNS回應的IP的網站
DNS劫持流程：
1. 攻擊者破壞DNS Server 和更改DNS 設定
2. 受害者(user) 發送請求連線到google給DNS server
3. 已被更改設定的DNS Server檢查對應名稱回應給user錯誤的IP
4. User連線錯誤的IP導向惡意網站

DNS劫持-影響

DNS劫持帶來的危害：
1. 釣魚詐騙
2. 網上購物支付安全
3. 洩露個人隱私
4. 輕則影響網速，重則不能上網
案例：MyEtherWallet.com乙太幣
2018/4/24晚間
　　駭客透過 DNS Hijacking 手法搭配 MyEtherWallet.com 假網站，成功的騙到幾百位的受害者。
　　當使用者透過瀏覽器開啟MyEtherWallet網站時，被導到一個偽造的釣魚網站，受害者沒有察覺是假網站，進行乙太幣轉帳，，轉出去的錢不是轉到受害者想轉幣的位址，而是進入駭客的錢包位址，而這次的資安事件中，MyEtherWallet並沒有被駭客入侵，而是網路上提供網域解析工作的DNS server被駭客下毒，在正常情況下使用者連線到MyEtherwallet網站DNS server會解析出正確的IP位址回覆給使用者，但這時DNS server已被駭客下毒，DNS Server回覆的IP位址就不是指向真正的網站，而是駭客要你連到的惡意網站。
　　駭客在事發後幾小時，就已經迅速將騙來的乙太幣轉出到其他多個帳戶，那些受到釣魚攻擊的受害者，想把錢追回來是非常困難的。
　　在此次事件中，以Chrome為例，只會顯示出紅色的https不安全警告，表示連線的遠端服務器憑證有安全問題，這種情況通常可以判斷這是個釣魚網站。
　　之前也有類似的案例是駭客利用受害者貪小便宜的心態，假冒數位貨幣交易所的CEO名義，以贈送以太幣方式，在極短的時間內騙了近千萬。
案例新聞：
1. https://www.ithome.com.tw/news/122665
2. https://blog.trendmicro.com.tw/?tag=dns-hijacking

DNS劫持-預防

加強病毒檢查，開啟防火牆等，防止惡意程式，木馬病毒感染
- 部分的DNS劫持是透過，惡意程式或木馬進行攻擊，那確保機器中沒有惡意程式，加強病毒檢查，開啟防火牆，防止惡意程式及木馬病毒感染
修改Router密碼
- 不要使用預設密碼，使用預設密碼容易被駭客入侵進行攻擊
清理HOSTS文件
- 如果你認為自己可能被DNS劫持，可以嘗試刪除hosts內容嘗試擺脫這種情況
檢查DNS服務器更改
關閉不需要的DNS解析器
修補已知漏洞
使用加密的VPN通道
網站擁有者可採取預防措施避免DNS重定向其DNS記錄：
- 安全訪問：訪問DNS時，使用雙重身分認證，並定義允許訪問DNS設置的白名單
- 客戶端鎖定：確認DNS供應商是否有支持客戶端鎖定，防止沒有經過特定指定人的批准下去更改DNS紀錄
- DNSSEC：使用有 DNSSEC功能的DNS ，並且啟用。DNSSEC對DNS通信進行數位簽名，讓駭客不容意攔截和欺騙