DNS遭攻陷,多家知名網站慘被攔截轉址

從3月2日上午開始,多家知名網站如C|NET Taiwan與ZDNET Taiwan、臺灣MSN(tw.msn.com)等,一進入其網站首頁或網站中的不特定連結,均會被攔截轉址到某特定位於中國大陸主機的網頁。

根據部分使用者表示,透過IE或Firefox瀏覽器開啟特定網站時,原先正常的網頁被轉址到http://www.dachengkeji.com/artical/index.htm網頁(疑有惡意程式碼,請勿隨意開啟),該網頁內容編碼為簡體中文GB碼。

截至3月4日下班前,該問題網頁尚無加入任何惡意程式碼,但隨即在3月4日晚間7點多,該網頁追加一個跳出式網頁訊息,證明該網頁正在演化中,有可能會隨時增加惡意程式碼。果不其然,至3月5日凌晨,該問題網頁開始加入惡意程式碼,正式成為惡意網頁,開始在特定區域肆虐。

案情並不單純

FireShot capture #11 - '' - www_dachengkeji_com_article_index_htm
此為攔截轉址的目的網頁,內有不雅文字,請斟酌開啟。

由於遭到綁架轉址的網站均為國內知名網站,因此一時間引起許多使用者的恐慌,以為自己的電腦遭到入侵或是綁架。然而該現象遍及多家網站與多位使用者,顯然並非單一網站遭到入侵或攔截。據國內多位安全專家表示,可能是ISP的DNS伺服器遭到入侵綁架,不定時回報錯誤的IP位址給查詢DNS的使用者。事實上,2007年9月6日,微軟MSN臺灣地區首頁也傳出因微軟DNS設定錯誤而遭到轉址的事件,由於僅僅是技術上的瑕疵,微軟也立即修復該錯誤,因此未傳出災情。

然而,根據編輯部進一步測試,若直接輸入zdnet.com.tw的IP位址(202.176.217.17),不經過DNS查詢,仍然發生連線遭到攔截被轉址到無關的中國網頁去。

另一方面,該網頁轉址攻擊行為並不固定攻擊某些特定網址,而是針對不特定使用者,特定網站不定時發生轉址的現象,使得追蹤查緝的行動更為困難。

初步判斷應為零時差攻擊

趨勢科技資深技術總監戴燊表示,原則上無法防禦DNS綁架攻擊,因為問題點並非出自於用戶端的電腦或系統,而是受到更上層遭到污染的DNS影響所致。但為何該轉址行為會不定時出現,目前尚無定論。某位不願具名的資訊安全專家推估,可能是因為網路骨幹的DNS服務是由多臺DNS伺服器同時運作,某臺DNS伺服器遭到入侵綁架,因此只有當使用者發出DNS查詢要求時,輪詢到該臺被污染的DNS伺服器才會出現轉址現象。

使用者如何自救?

目前為止,根據各論壇網站的討論,傳出災情使用者多數使用HiNET的網際網路服務,但也有少數使用者回報使用3.5G上網也會發生網址綁架,初步判斷使用臺灣的公用DNS主機容易遭到攻擊,使用者可以先將網路連線設定中的DNS位址,改為美國DNS主機如OpenDNS所提供的服務位址(208.67.222.222與208.67.220.220)。企業用戶可先將自家DNS主機的上層DNS位址改為OpenDNS所提供的DNS服務位址。根據本刊編輯部測試,的確不再發生網址綁架的現象。

根據Whois反查網域的資料,可得知該網域登記代表人為xinfazhang,登記在中國河南省,並登記一組中國大陸地區電話號碼,但根據編輯部試撥的結果是空號,顯然該Whois所登記的資料為假資料,但無法證明dachengkeji.com為此次攻擊事件的發起者。

截至目前為止,尚無ISP或其他資訊安全廠商針對該轉址事件的正式說明,據瞭解相關單位已經開始追查攻擊來源與遭污染的DNS主機,若有進一步消息,本刊將繼續追蹤報導。