追蹤：轉址攻擊仍持續且惡意碼手法日趨成熟

自 3 月 2 日開始發生的不明網站轉址攻擊影響臺灣 ZDNET 、 CNET 與 MSN 以來，各方安全專家無不開始追查問題的根源與來由。先前本刊報導該轉址攻擊起因於 DNS 遭到攻陷，目前已初步排除此可能性。根據轉址網頁封包分析，惡意轉址指令乃是搶在正常網頁回應之前，便在 HTTP Header 中安插一段轉址指令。換句話說，在遠端正常的 Web 伺服器傳回 HTTP 協定封包資料之前，使用者端便 GET 到轉址要求，即便輸入 IP 直接連線，也遭遇到同樣的轉址要求，很可能是遭受到 TCP 劫持攻擊或是中間人攻擊 (Man-in-the-middle attack) 。

然而，這「中間人」究竟位於何處？為何能夠同時影響到 ZDNET 與 MSN 臺灣，甚至可能還包含 Yahoo 臺灣？

電信商路由器恐遭不測

透過 HiNet 網路追蹤 ZDNET 的封包傳遞路徑記錄，請注意紅色框線之處。

透過 HiNet 網路追蹤惡意網頁的封包傳遞路徑，請注意紅色框線之處。

本圖為參考組，透過 SeedNet 網路追蹤 ZDNet 的封包傳遞路徑，請注意紅色框線之處，完全不會經過到達惡意網頁的相同路徑。

據某位不願具名的安全專家表示，分析眾多轉址攻擊封包傳遞路徑後，儘管傳遞路徑每次均不相同，但每次轉址封包均會經過某個特定網段，該網段位於中華電信 HiNet 的網路中。

雖然不能因此認定出問題的網段位於中華電信 HiNET，但若真是「中間人」所在之處，不排除該網段中的路由器或其他相關網路設備遭到攻破，在轉送封包時，針對特定網址，將惡意轉址指令安插在 HTTP 協定封包中，搶先在正常網頁的內容回應給使用者之前，先送達使用者端的電腦，實現所謂的 TCP Hijacking 攻擊。

問題是，這波轉址攻擊行動的「隨機性」，究竟是攻擊者的刻意設定，還是因為僅有少數路由器遭到污染，因此影響的使用者數量有限？此點尚不可知。

惡意網頁不斷演變

從 3 月 2 日的零星攻擊，到 3 月 4 日爆發大規模轉址攻擊行動之後，攻擊者也不斷演變惡意網頁的攻擊行為，從早先的單純轉址，到 3 月 5 日開始加入惡意程式碼，意圖進行零時差的漏洞攻擊，隨後在 3 月 6 日、 7 日短短 48 小時之間，不斷變化惡意網頁攻擊手法，攻擊方式愈來愈成熟。 3 月 7 日甚至一日數變，不斷為轉址頁面加入各種惡意連結，顯然攻擊者有意預備另一波更大規模的攻擊行動。

某位不願具名的安全專家表示，攻擊者不斷在惡意網頁中加入更多惡意連結，又突然刪除，例如攻擊中曾經加入某個惡意連結，連到 updatewindows.3322.org 網站。經緊急追查後發現該 IP 位址位於臺灣，但隨後該網域的 DNS 記錄又遭到修改，不再指向該 IP 。若直連原 IP 位址，該主機的網頁伺服器則換成相當乾淨的 IIS 主機。

「若攻擊者實際上位於臺灣，在不斷嘗試攻擊手法之際，也不斷消除實驗痕跡，不排除攻擊者正預備對臺灣網站進行另一波更大型的攻擊行動」該安全專家如是說。

路由器轉址攻擊有多危險？

電信業者骨幹網路可說是非常重要的網路基礎建設，多採用知名品牌的路由器且聘請專職管理人員，因此過去幾乎從未聽聞電信業者網路骨幹路由器遭到入侵的案例。

然而，若此次不明轉址攻擊案件真為路由器轉址攻擊，攻擊者能夠攻破少數幾台路由器，便很有機會攻破更多的路由器，擴大打擊面。除了能夠攻擊更多的使用者，也能綁架更多的網站。

除此之外，一旦惡意網頁的惡意程式碼發展成熟，搭配路由器轉址攻擊，同時間將大量使用者、大量網站的流量全都綁架劫持導向該惡意網頁，所可能造成的災情就並非單一網站劫持可比。

截自目前為止，尚無找出受污染的主機或網路設備的確切證據，故無法確認該轉址攻擊是否已受到控制。

釜底抽薪方為上策

一旦面對大規模的轉址攻擊，使用者便難以透過修改 hosts 檔案的方式自救，若不幸遭遇到內含惡意程式碼如木馬、漏洞攻擊等惡意網頁，使用者端必須具備能夠立即偵測出有害指令的安全軟體。換句話說，使用者在挑選資訊安全軟體時，應特別注意該安全軟體是否具備防範以網頁技術為主的惡意攻擊型態。