This page looks plain and unstyled because you're using a non-standard compliant browser. To see it in its best form, please visit upgrade to a browser that supports web standards. It's free and painless.

雲端運算與網路安全趨勢 會員登入 會員註冊

« 上一篇 | 下一篇 »

 

撰文趨勢科技資訊安全顧問 林松儀

 

Keith Lin, Security Analyst

 

 

 

最近網路上針對MSN網站的新型態網路攻擊傳得沸沸揚揚(MSN 等台灣網站被轉址到 dachengkeji網頁站事件),各家高手都有根據受害者現象提出分析建言。其實針對網路協定漏洞的攻擊一直都有出現,和以往的傳統型本機病毒或是網路型蠕蟲不同的是網路攻擊針對的是一些網路協定的漏洞而產生的攻擊。使得一般使用者很難防範也很難去找出真正的問題的所在。

關於網路型攻擊,目前可以觀察到的主要有三種。雖然這三種發作的症狀對一般使用者來說都很像,但是背後的運作原理並不相同。

像這次的攻擊就是屬於網路連結劫持(TCP connection Hijacking)攻擊。它會在真實的伺服器回應封包之前搶先送出假的回應封包,當它搶在原本的封包前,那麼真正的封包反而會被當成重複封包丟棄。對客戶端來說,他所看到的IP 也是來自真實的伺服器,並不是第三方的IP位置(這點和DNS欺瞞攻擊不同)。雖然這看起來像是真的網站傳回來的回應,但是這假造的封包內含有HTTP轉址指令讓客戶端轉而瀏覽有問題的網站。

以下就是針對這次事件的封包擷圖
我們可以看到編號五的封包,便是假造的封包。可以看到內含<html>..<body>..<meta http-equiv="refresh" content="0;url=http://www.dachengkeji.com/article/index.htm">..</body>..</html> 而這轉址指令會將客戶端導到有問題的網站上去。

看大圖,請按以下網址:

看大圖,請按以下網址:

http://blog.ithome.com.tw/resserver.php?blogId=1252&resource=Keith1.jpg

而編號8的便是真正MSN網站發出來的封包 可以看到他的Ack, Seg 編號都和偽造的封包一樣所以被當成是重複送的封包。

看大圖,請按以下網址:

http://blog.ithome.com.tw/resserver.php?blogId=1252&resource=Keith2.jpg

由於這類型的攻擊使得客戶端能看到的IP, MAC等資訊都是正常的。所以非常難以追查真正的來源。不過這類型的攻擊的來源有可能是從被入侵的主機,路由器或者是受感染的機器。所以也同樣的可能是在區域網路內部或是ISP網路中的機器所引起。
但是由於這類型的攻擊需要能先擷取封包,再根據用戶端發出的封包內容來回應假造的封包。所以必須有能力直接監聽到客戶端封包的位置才有辦法做到。這也就是說,如果是處在有隔絕網路廣播的網路或是不在封包路由線路上,當聽不到別的客戶端封包時,就無法發動攻擊。所以這也是一個判斷真正來源的參考值。

而且根據我們的分析,這次的攻擊也從一開始僅僅轉址的實驗性質發展到了會變成轉址為下載一個惡意指令碼,進而在後端下載惡意程式碼進入客戶端,最後又會將用戶導回正常的網頁。變成了一個真正不容易被察覺的惡意攻擊。我們甚至看到了有針對MS09-002漏洞的惡意指令碼被下載以攻擊客戶端的瀏覽器。而且使用到的網址跟惡意碼都在變化中。

這類型的攻擊特徵就是DNS並沒有被竄改,但是原本網頁內容卻整個改變了。由於大型的網站不大可能真的徹底被攻占,所以這時候便可以分析封包看出是否為網路連結劫持攻擊。

而除了這次事件的主因以外,第二種就是最多人猜測的DNS欺瞞類型的攻擊。這種攻擊從原本會竄改本機的Host 檔案病毒變化而來,變成直接去修改DNS查詢回覆。從WORM_DOWNAD病毒會修改本機上的DNS 查詢回應,到區網內部利用ARP欺瞞攻擊去製造假DHCP封包,以變更使用者的DNS主機成外部的惡意DNS伺服器上,大至直接更改電信業者的DNS伺服器內容(例如之前的中國電信業者事件)。不管其影響層級是本機,區網內部甚至ISP網路。主要目的都一樣是變更DNS的查詢內容,導致客戶端瀏覽網路時會直接被導到錯誤或惡意的網站上。也因為這樣,所以大部分人在只聽到症狀而沒有得到真實案例之前,都會認為屬於這類的攻擊。

這類型的網路攻擊該如何辨識呢?最簡單的方法就是利用別的網路連線,查詢別家電信業者的DNS或是利用線上DNS查詢服務去查詢出正確的IP出來作比對。也可以直接去反查假造的IP 都可以觀察出可疑的地方。

最後一種就是man-in-the-middle中間人攻擊。不管是ARP欺瞞攻擊加上網頁掛馬,或是直接攻擊快取伺服器的Last mile injection都可算屬於這類型的攻擊。這種攻擊很類似本機上的網頁感染型病毒,都會插入惡意iframe tag到網頁內容以誘導瀏覽者在背景直接連結惡意程式碼。不同的是它們並不是感染本機,而是直接修改網路封包內容去加上惡意iframe tag。所以更加防不勝防。他可以是區網內部的受感染機器引起(如前陣子常見的ARP類型病毒),也可以是xSP端的受感染機器引起(如之前的蕃薯藤事件),更可能直接感染快取伺服器(如去年的MSN網站事件)。這種攻擊的特徵就是在真實網站上其實找不到被修改的程式碼,但是使用者會在自己收到的網頁(通常是最上方)發現被插入的惡意iframe tag。而其餘的頁面內容還是正常的。所以使用者常常會認為是因為瀏覽的網站中毒了。只是網站管理站卻查不到問題。真正的原因就是因為內容的竄改是發生在網路傳輸上。

不過不管是何種網路攻擊,雖然網路協定的漏洞導致容易接受到假訊息,但是也不至於達到完全都是假造卻還可以維持連線的狀況。所以最終病毒作者還是需要將使用者導到惡意連結才有辦法進行真正的攻擊。

體驗主動式雲端截毒服務的免費網頁威脅防禦工具: WTP Add On 免費拆除黑心連結

@欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪

 

@瞭解與免費試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2010  

 @NSS 測試報告(中文版):最新防毒軟體排名

 

@欲瞭解趨勢科技 TrendMicro 動式雲端截毒服務 SPN( Smart Protection Network)的效能,請上趨勢科技 相關中文網站

發表回應
  1. 很好的分析 [回覆]

    如題.感謝.

    BJ 回應於 10 三月, 2009 09:37

  2. 也感謝 BJ 留言 [回覆]

    :)
    有需要原作者 Keith 回答的問題,也歡迎在這裡留言

    崔嘻 回應於 10 三月, 2009 14:24

  3. WTP [回覆]

    裝了WTP就可以阻擋類似事件嗎??

    威廉 回應於 10 三月, 2009 18:24

  4. WTP [回覆]

    是可以的 因為WTP 可以攔截惡意連結或是惡意指令碼的下載

    雖然網路攻擊沒有辦法被阻止 因為當客戶端接收到偽造的封包或內容還是都會收下來 這是網路協定的漏洞
    但是因為攻擊者還是需要將使用者導到惡意的網站上 或是轉去下載惡意指令碼才算是完成攻擊

    所以這時候利用網頁過濾便可以攔截這些惡意連結達到阻擋的效果

    Keith Lin 回應於 10 三月, 2009 22:04