2009年3月10日 星期二

網站轉址攻擊事件

上週開始,陸續有人發現在連到 www.msn.com.tw、tw.msn.com、taiwan.cnet.com 等網站時,發生了一些異常行為,瀏覽器被硬生生的導到其它網站(www.dachengkeji.com) 等。

詳細的討論可看
Richliu 的某些 ISP 疑似被 hijacking 攻擊 一文。

事情看來很大條,各專家紛紛出來澄清或解釋這樣的攻擊。
有專家說,這是
「新型態的網路攻擊手法」!
有專家說,這是「電信業者的DNS主機遭攻擊」!
有專家說,這是「某 ISP 的路由器(Router)被攻破」,甚至還說 Router 被感染了。真不知道是被感染了什麼鬼玩意。
當然也有專家真的分析了封包內容,提出了可能是「Non-Blind Spoofing」的結論。

看到這些說法,我其實蠻訝異的。

我上週知道這件事發生後,就和幾位 CHROOT 的成員討論過,並在第一時間透過管道,得到了 ISP 的「三不一沒有」的資訊:
「不是 DNS 問題、不是 Proxy 問題、不是 Router 問題,沒有被入侵」
(昨日 3/9, 中華電信資安辦公室證實了這點 http://www.itis.tw/node/2601)

而我們的結論是「這是大陸駭客愛用的 ARP Spoofing 攻擊」,不過攻擊地點在 IDC 端。
我們以為這並非什麼新的攻擊型態,不過專家就是專家,總要有自己的看法,不知道原因的,也要說成是新的攻擊型態,混合了幾種專業名詞大家就點頭稱是了。

事實上,對岸駭客真的把「ARP Spoofing + 網頁掛馬」,簡稱「ARP 掛馬」技術發揮到了極點,從 MSN SHELL 所在SERVER遭ARP掛馬 就提到了在 IDC 端的「ARP掛馬」案例。

我的看法如下:
1. 被導向的網站 www.msn.com.tw、tw.msn.com、taiwan.cnet.com,「當時」都在位在新加坡電信Singtel。我想應該台灣的 ISP 應該和新加坡電信窗口聯絡,知會一下狀況。

2. 並非每次或每個人瀏覽都會被導向,原因應該是流量過大,封包處理不及,或是該攻擊有時間間隔處理。

3. 此事件中,看來只有從台灣連去的封包被影響,有針對性。

4. 以現在的工具來看, 利用 「ARP 掛馬」發展得很成熟,大家可以 google 看看 zxarp,我甚至可以告訴你,這個工具參數怎麼下,
放在「對」的地方,就可以造成這次的效果。呃,上述的第 2、3 點,該工具都有參數支援啦。

當然啦,每個人的看法不同,堅持是什麼「新的攻擊型態」的專家,或許這回真的可以揚名國際!但若是真的「ARP 掛馬」,也請認真的研究一下這個攻擊,並提醒大家,這種攻擊的嚴重性。

至於會不會有真的證明是「ARP 掛馬」呢?我不知道!(謎之聲: 誰會承認自己 IDC 被 ARP 掛馬)

套句某駭客的名言「忍一下就過去了!」,有道理,不是嗎? :-)






3 則留言:

nullbomb 提到...

TIM, 我覺得不可能是arp.. 這樣的話, 各地都會看到這個效果.

給你來玩我寫的PoC:
http://o0o.nu/files/simulate.tgz

是一般的spoofing :)

yyzz 提到...

為了loading與隱匿性,駭客實務上進行arp掛碼攻擊時通常會限制範圍,甚至在程式上就做隨機掛馬的機制,而arp spoofing先天上也不是非常穩定,加上原本網站具有的分流機制(被攻擊的伺服器很可能只是台分流機),攻擊現象隨機出現是很正常的。

而這次的攻擊,的確在各地都看到攻擊效果,不管是哪一個ISP,都看到了。只是出現的頻率並非每次都成功。

一般 spoofing 的手法很常見,用來截斷 tcp 連線的 spoofing 手法常見於各種 IPS 或網站內容過濾機制,做法可行也不稀奇。但是要考慮的是,在這次的攻擊事件中,攻擊者如果不是在被掛馬的網站中(旁),那麼在網路節點上,那一個地方會是攻擊發起點?

ROUTER ? 這次事件中,透過所有 ISP 都會遇到類似的效果,所以說所有 ISP 都有 ROUTER 被入侵,駭客並在上面對特定網址做 spoofing 攻擊?

如果是這樣,如果我是駭客,那我會選擇掛 tw.yahoo.com 而不是 tw.msn.com ..

匿名 提到...

我認為網路上的節點被攻擊的機率也很高,改設定後可以mirror流量,一點也不困難。為何選tw.msn.com很簡單,不一定是駭客選的,可能是他攻下的節點,是一個proxy farm,而只有tw.msn.com的流量有被導入這proxy farm,為何攻擊不是一直都有,因為這種proxy farm,會在不同時段被導入不同網段的流量,很多ISP都是這麼做。以上只是一種,還有一些情況,也會導致選擇tw.msn.com而非其他,檢而言之,並非駭客能選也。

最令我不解的是,路徑中的攻擊常常發生,為何這邊的人都只認為是ARP掛馬?哪一個地方是攻擊發生點--哪裡都可以,建立了tunnel之後,任何一點都可以是。如果是L7設備被入侵,直接在上面跑也可以。