解析波兰遭遇大规模DNS劫持事件

19 Feb 2014 - evi1m0

0x01 背景描述

最近波兰CERT一篇名为的文章引起我们的注意,报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码,最终窃取了用户银行里面的钱。”

前两天微信公众号网站安全中心(wangzhan_anquan)发表消息:近日波兰遭遇大规模DNS劫持攻击,黑客通过修改家用路由器DNS配置从而劫持用户请求,最终窃取了用户银行里的钱!类似DNS劫持手法应该会很快便延伸到国内,危及网民安全。

很多朋友收到此消息后给我们留言抛出这样的疑问:

  • 这个和去年的有什么不同?
  • 修改路由器dns劫持,国内已经有好多了,但是没听说过洗钱的。
  • 我只听说过能够dns劫持我的HTTP请求,HTTPS也不安全啊?
  • More

https://pic1.zhimg.com/4b6c1dc025886465d62b4ec71ee97b94_b.jpg

更多朋友所不知道的是,HTTPS加密请求也能被嗅探到?

什么是HTTPS:

HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么黑客是怎么做到的劫持HTTPS?

简单的说黑客为了绕过HTTPS,采用了SSL层剥离的技术,黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信。

0x02 攻击细节

黑客(攻击者)使用了一款工具来实施攻击-SSLStrip,他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接,进行中间人劫持(类似于ARP欺骗)。

https://pic1.zhimg.com/c5a5d9aae902f5baef45f7eec4e12d98_b.jpg

SSLStrip的工作原理:

  1. 进行中间人攻击来劫持HTTP请求流量;
  2. 将出现的HTTPS链接全部替换为HTTP,同时记录所有改变的链接;
  3. 使用HTTP与受害者机器链接;
  4. 同时与合法的服务器建立HTTPS;
  5. 受害者与合法服务器之间的全部通信请求经过代理(攻击者服务器)转发;
  6. 完成劫持请求;

https://pic3.zhimg.com/b6195e60485ca9ba6e14402baef28d72_b.jpg

有关波兰遭遇大规模DNS劫持用户网上银行的事件中,因为使用SSLStrip会提醒用户连接没有使用SSL加密,黑客为了迷惑用户,重写了URL,在域名前加了“ssl-.”的前缀,当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。

https://pic3.zhimg.com/2f6703bc7423adb94e35821c1028a1c2_b.jpg

这件事情的源头是因为ZynOS路由器出现漏洞,导致的大批DNS被劫持,有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了,整个流程如下:

  • 攻击者批量劫持用户DNS
  • 重写URL迷惑用户
  • 使用SSLStrip进行请求劫持
  • 完成劫持

波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip进行嗅探,这次方法要比之前单纯的DNS劫持有趣的多,当然危害也大的多。

0x03 解决方案

这种攻击方式马上会在国内展开攻击,这种攻击往往不是基于服务端,特别是SSL Stripping技术,其攻击手法不是针对相应固件也不是利用固件漏洞,所以大家有必要好好看一下解决方案,真正的把DNS防御杜绝在门外!

  • 检查DNS是否正常

拿TP-Link举例,浏览器访问192.168.1.1(一般是这个,除非你改了),输入账号密码登陆(默认账号密码在说明书上都有)-> 网络参数-> WAN口设置-> 高级设置-> 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。

如果你没有人工设置过,但勾选了,那就要警惕是否被黑客篡改了。

如果没勾选,一般情况下没有问题。

检查DNS IP是否正常:在百度上搜索下里面的DNS IP看看是不是国内的,如果是国外的则需要警惕了!除非是Google的8.8.8.8这个,看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况,有些正常DNS IP也会有人讨论质疑,这个需要大家自行判断一下,实在没把握就设置DNS IP如:主DNS服务器:114.114.114.114,备用DNS服务器为:8.8.8.8

关于其他品牌如何修改查看或者修改DNS的话,和上面步骤也差不多,实在找不到的话就百度一下,多方便。如果发现被攻击的痕迹,重置路由器是个好办法,当然下面的步骤是必须的:

  • 修改路由器Web登陆密码

路由器一般都会有Web管理页面的,这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin,把账号密码最好都修改的复杂点儿吧!

上面的步骤都是人工的,我们另外准备了工具(建议结合使用):DNS劫持恶意代码检测

开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的,只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候注意网址左侧的证书颜色,绿色黄色红色分别代表不同级别!

https://pic4.zhimg.com/17f2b66ccfc89c1ed839e4bf673b14af_b.jpg

评论插件使用 Disqus ,需翻墙才能查看及留言。