謝至恩從 3 月 2 日上午開始,多家知名網站如 C|NET Taiwan 與 ZDNET Taiwan 、臺灣 MSN(tw.msn.com) 等,一進入其網站首頁或網站中的不特定連結,均會被攔截轉址到某特定位於中國大陸主機的網頁。
根據部分使用者表示,透過 IE 或 Firefox 瀏覽器開啟特定網站時,原先正常的網頁被轉址到 http://www.dachengkeji.com/artical/index.htm 網頁(疑有惡意程式碼,請勿隨意開啟),該網頁內容編碼為簡體中文 GB 碼。
截至 3 月 4 日下班前,該問題網頁尚無加入任何惡意程式碼,但隨即在 3 月 4 日晚間 7 點多,該網頁追加一個跳出式網頁訊息,證明該網頁正在演化中,有可能會隨時增加惡意程式碼。果不其然,至 3 月 5 日凌晨,該問題網頁開始加入惡意程式碼,正式成為惡意網頁,開始在特定區域肆虐。
本文目錄
案情並不單純
 |
| 此為攔截轉址的目的網頁,內有不雅文字,請斟酌開啟。 |
由於遭到綁架轉址的網站均為國內知名網站,因此一時間引起許多使用者的恐慌,以為自己的電腦遭到入侵或是綁架。然而該現象遍及多家網站與多位使用者,顯然並非單一網站遭到入侵或攔截。據國內多位安全專家表示,可能是 ISP 的 DNS 伺服器遭到入侵綁架,不定時回報錯誤的 IP 位址給查詢 DNS 的使用者。事實上,2007 年 9 月 6 日,微軟 MSN 臺灣地區首頁也傳出因微軟 DNS 設定錯誤而遭到轉址的事件,由於僅僅是技術上的瑕疵,微軟也立即修復該錯誤,因此未傳出災情。
然而,根據編輯部進一步測試,若直接輸入 zdnet.com.tw 的 IP 位址 (202.176.217.17),不經過 DNS 查詢,仍然發生連線遭到攔截被轉址到無關的中國網頁去。
另一方面,該網頁轉址攻擊行為並不固定攻擊某些特定網址,而是針對不特定使用者,特定網站不定時發生轉址的現象,使得追蹤查緝的行動更為困難。
初步判斷應為零時差攻擊
趨勢科技資深技術總監戴燊表示,原則上無法防禦 DNS 綁架攻擊,因為問題點並非出自於用戶端的電腦或系統,而是受到更上層遭到污染的 DNS 影響所致。但為何該轉址行為會不定時出現,目前尚無定論。某位不願具名的資訊安全專家推估,可能是因為網路骨幹的 DNS 服務是由多臺 DNS 伺服器同時運作,某臺 DNS 伺服器遭到入侵綁架,因此只有當使用者發出 DNS 查詢要求時,輪詢到該臺被污染的 DNS 伺服器才會出現轉址現象。
使用者如何自救?
目前為止,根據各論壇網站的討論,傳出災情使用者多數使用 HiNET 的網際網路服務,但也有少數使用者回報使用 3.5G 上網也會發生網址綁架,初步判斷使用臺灣的公用 DNS 主機容易遭到攻擊,使用者可以先將網路連線設定中的 DNS 位址,改為美國 DNS 主機如 OpenDNS 所提供的服務位址(208.67.222.222 與 208.67.220.220)。企業用戶可先將自家 DNS 主機的上層 DNS 位址改為 OpenDNS 所提供的 DNS 服務位址。根據本刊編輯部測試,的確不再發生網址綁架的現象。
根據 Whois 反查網域的資料,可得知該網域登記代表人為 xinfazhang,登記在中國河南省,並登記一組中國大陸地區電話號碼,但根據編輯部試撥的結果是空號,顯然該 Whois 所登記的資料為假資料,但無法證明 dachengkeji.com 為此次攻擊事件的發起者。
截至目前為止,尚無 ISP 或其他資訊安全廠商針對該轉址事件的正式說明,據瞭解相關單位已經開始追查攻擊來源與遭污染的 DNS 主機,若有進一步消息,本刊將繼續追蹤報導。
0 comments
謝至恩
2009-03-05 at 15:48:41
截至 3 月 5 日下午 3 點,各地仍有傳出綁架轉址的情形,看來該情形尚未修復。
這是否意味著將來即便是正當網站的網址,都很可能被綁架勒贖?
Keith Lin
2009-03-05 at 22:26:26
TCP Hijacking 跟 DNS spoofing 不一樣啦
謝至恩
2009-03-05 at 23:52:26
@Keith Lin:
說得是,不過該如何能夠同時對 zdnet 與 msn taiwan 同時進行 tcp hijacking 呢?
現在針對這種新型態攻擊,目前都還在猜測手法的階段。
有沒有人能夠提供可能的手法?
謝至恩
2009-03-05 at 23:59:10
這樣「不特定」的特性,實在很難讓人確切掌握住該攻擊是否已經修復完畢了。
請各位若仍然碰到類似的轉址案件,能到此留下個記錄,協助繼續追蹤這種攻擊手法是否還在蔓延中。
happy
2009-03-06 at 00:26:18
回報: 我是連到以下網址就會被轉向
http://merlystreep.5d6d.com/
東莞老張
2009-03-06 at 01:03:46
現在是 3 月 6 日上午 1:00 整,小弟人在大陸,目前只有上 pchome 網頁會導向 http://www.dachengkeji.cn/index.htm
aayuh
2009-03-06 at 01:56:07
感覺上被轉址的次數有減緩
但仍會不定時被轉址到以下兩個網址
h ttp://www.zhonglie.org/
及 h ttp://www.dachengkeji.cn/index.htm
Kevin
2009-03-06 at 10:32:00
今天连到 www.chinatimes.com, 仍然被转址到 http://www.dachengkeji.com/artical/index.htm,中时电子报开着等他 Refresh 时,有时就会被转址过去。
阿土伯
2009-03-06 at 10:47:28
從 DNS Poisioning 、 TCP Hijacking 、到 Server (malicious script inject) 都有人提
可是怎麼沒人提到 Click Jacking ?
這些網站都有刊廣告,是否有可能是這些廣告出了問題?!
謝至恩
2009-03-06 at 11:15:49
感謝大家熱情回報,請大家回報的時候,別忘記附上所使用的 ISP 是哪一家的資料哦,這樣比較容易統計比較。
感謝大家。
aayuh
2009-03-06 at 11:37:36
唔~使用的是中華電信光世代 10M/2M
目前還是一樣會不定時被轉址到下面兩個網址
h ttp://www.zhonglie.org/
及 h ttp://www.dachengkeji.cn/index.htm
阿土伯
2009-03-06 at 12:15:13
[資訊更新]
仔細看了封包, hijacking 比較有可能, 至於是那邊被 hijack 了?
是否可以請各位提供 traceroute 的資訊? 看看是否有交集.
謝至恩
2009-03-06 at 13:44:57
有人錄到來自不同 ISP 的轉址攻擊封包嗎?目前似乎有人錄到來自新加坡電信的轉址攻擊封包。
看來快要追到出問題的那個點了。
yoyochen
2009-03-06 at 14:07:24
目前連到 http://www.gogrok.com 也是會被轉到 12 樓所講的
就算用 ip address 去連也會
使用網路是中華電信的固定 IP
nslookup 這個 domain name 是正確的
好像只是 http 才會有這問題,用 putty 或 psftp 去連就不會被轉
如果把 DNS 改設到其他國家去,就不會有這狀況
謝至恩
2009-03-06 at 14:18:59
哦?這就很有趣了,gogrok.com 的位址也在新加坡。
不過我 reload gogrok.com 好幾次,還沒碰到轉址現象。
Jason
2009-03-06 at 15:09:52
vw.com.tw 也被綁架了, 這個網址是新加坡所註冊。
Charlie
2009-03-06 at 23:20:49
世界之窗瀏覽器: http://www.ioage.com,同樣被轉址,此外經過交叉測試,以下整理:
****
環境
****
ISP:Hinet FTTB 、 DNS:168.95.192.1—–> 平台:windows(會被轉址)(Firefox 、 IE7) 。—–> 平台:Linux(不會被轉址)(Firefox) 。
****
環境
****
ISP:學校學術網路、 DNS:168.95.192.1—–> 平台:windows(不會被轉址)(Firefox 、 IE7)
結論:以上經過不同區域朋友同步測試,似乎只對使用中華電信光纖網路的
Windows 平台有效 (會被轉址),用 Linux 的朋友並不受此影響。
希望以上資訊有助於趕緊破解此謎題!!謝謝
alex
2009-03-07 at 14:10:08
dns:208.67.222.222/168.95.192.1
在海南开 tw.yahoo.com 也会被转到哪里,我还以为中毒了,一直扫
dflwkm
2009-03-12 at 19:06:51
“ 這裡有最新的研究與解答– 真相大白:”
http://armorize-cht.blogspot.com/2009/03/blog-post.html
http://armorize-cht.blogspot.com/2009/03/blog-post_12.html
謝至恩
2009-03-12 at 23:00:59
我看過阿碼這篇文章,不過似乎還稱不上真相大白。
還沒辦法解釋攻擊起源與真正的作為。