RSS Feed
更好更安全的互联网

解析波兰遭遇大规模DNS劫持事件

2014-02-18

enterprise-ecommerce-site-security

一、背景描述

最近波兰CERT一篇名<Large-scale DNS redirection on home routers for financial theft>为的文章引起我们的注意,报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码,最终窃取了用户银行里面的钱。”

 

前两天微信公众号网站安全中心(wangzhan_anquan)发表消息:近日波兰遭遇大规模DNS劫持攻击,黑客通过修改家用路由器DNS配置从而劫持用户请求,最终窃取了用户银行里的钱!类似DNS劫持手法应该会很快便延伸到国内,危及网民安全。我们正在调查此次事件背后的事情,后续会推出相关调查报告,非常精彩!

 

很多朋友收到此消息后给我们留言抛出这样的疑问:

  • 这个和去年的有什么不同?
  • 修改路由器dns劫持,国内已经有好多了,但是没听说过洗钱的。
  • 我只听说过能够dns劫持我的HTTP请求,HTTPS也不安全啊?
  • More...

图片1

 

更多朋友所不知道的是,HTTPS加密请求也能被嗅探到?

 

什么是HTTPS:

HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

 

之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么黑客是怎么做到的劫持HTTPS?

简单的说黑客为了绕过HTTPS,采用了SSL层剥离的技术,黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信。

 

二、攻击细节

黑客(攻击者)使用了一款工具来实施攻击-SSLStrip,他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接,进行中间人劫持(类似于ARP欺骗)。

图片2

 

SSLStrip的工作原理:

  1. 进行中间人攻击来劫持HTTP请求流量。
  2. 将出现的HTTPS链接全部替换为HTTP,同时记录所有改变的链接。
  3. 使用HTTP与受害者机器链接。
  4. 同时与合法的服务器建立HTTPS。
  5. 受害者与合法服务器之间的全部通信请求经过代理(攻击者服务器)转发。
  6. 完成劫持请求

 

攻击的流程原理可用下图表示:

图片3

 

有关波兰遭遇大规模DNS劫持用户网上银行的事件中,因为使用SSLStrip会提醒用户连接没有使用SSL加密,黑客为了迷惑用户,重写了URL,在域名前加了“ssl-.”的前缀,当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。

2f6703bc7423adb94e35821c1028a1c2_r

这件事情的源头是因为ZynOS路由器出现漏洞,导致的大批DNS被劫持,有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了,整个流程如下:

  1. 攻击者批量劫持用户DNS
  2. 重写URL迷惑用户
  3. 使用SSLStrip进行请求劫持
  4. 完成劫持

 

波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip进行嗅探,这次方法要比之前单纯的DNS劫持有趣的多,当然危害也大的多。

 

解决方案

这种攻击方式马上会在国内展开攻击,这种攻击往往不是基于服务端,特别是SSL Stripping技术,其攻击手法不是针对相应固件也不是利用固件漏洞,所以大家有必要好好看一下解决方案,真正的把DNS防御杜绝在门外!

 

检查DNS是否正常

拿TP-Link举例,浏览器访问192.168.1.1(一般是这个,除非你改了),输入账号密码登陆(默认账号密码在说明书上都有)-> 网络参数-> WAN口设置-> 高级设置-> 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。

 

  • 如果你没有人工设置过,但勾选了,那就要警惕是否被黑客篡改了。
  • 如果没勾选,一般情况下没有问题。
  • 检查DNS IP是否正常:在百度上搜索下里面的DNS IP看看是不是国内的,如果是国外的则需要警惕了!除非是Google的8.8.8.8这个,看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况,有些正常DNS IP也会有人讨论质疑,这个需要大家自行判断一下,实在没把握就设置DNS IP如:主DNS服务器:114.114.114.114,备用DNS服务器为:8.8.8.8

 

关于其他品牌如何修改查看或者修改DNS的话,和上面步骤也差不多,实在找不到的话就百度一下,多方便。

 

如果发现被攻击的痕迹,重置路由器是个好办法,当然下面的步骤是必须的:

 

修改路由器Web登陆密码

路由器一般都会有Web管理页面的,这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin,把账号密码最好都修改的复杂点儿吧!

 

上面的步骤都是人工的,我们另外准备了工具(建议结合使用):http://zhanzhang.anquan.org/topic/dns_hijacking/

 

开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的,只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候注意网址左侧的证书颜色,绿色黄色红色分别代表不同级别!

sslstrip1

作者:Evi1m0 | Categories:安全研究 | Tags:

3条评论

  1. 说道:

    垃圾玩意,无良企业!

  2. 婊子说道:

    婊子和牌坊—安全联盟认证和品牌保护收费

    1、安全联盟出了公告,说是为了缓解认证排队和缓慢,认证审核业务授权给第三方品牌宝,冠冕堂皇,振振有词。品牌宝是谁啊,不就是知道创宇吗,哪里来的第三方?自己授权自己,左手倒右手,就能解决排队问题,真是神奇啊!第三者插足没玩好,自慰搞得不错。

    2、由于拥挤,所以收费,既然授权自己就能解决问题,有理由怀疑拥挤是你造成的,论坛里管理员都说不要信排队数量,那是不准的,含蓄了点,直接说就是假的。

    3、到底是认证费还是排队费,普通免费通道永远抢不到,只能花钱买通道,现在是三个通道,还有名额限制,不出预料,不久就又排队缓慢了,没关系,接着开vvip,vvvip通道就好了,只要有钱,你会得道通道。你们真是深得竞价排名和饥饿营销的真传啊,结合、发展和创新啊。

    4、一旦缴费,概不退换,牛X。

    5、知道创宇和百度的关系谁不知道,百度那里收着骗子的钱,大肆推广,知道创宇向正规厂商收钱,按照条数收死贵的钱,自产自销,黑白通吃,你们双簧演的不错啊。

    最后说一句,要收钱就明着说,别藏着掖着,做好婊子,“莞式服务”网民可以接受!!

发表评论