【突发】国内大量家用路由器网络访问非常和流量挟制事件分析
以下内容由WebRAY和Panabit团结发布https://img-blog.csdnimg.cn/img_convert/22b45834d662808059cecdbe2bfd67b7.png
0x01 事件背景
从2024年5月开始,国内部分家用路由器开始出现间歇性断网、域名解析延长高以及解析到海外IP等环境,本年8月该征象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器设置的DNS地址被莫名其妙篡改了,主DNS地址是一个阿里云上的节点,备用DNS地址为1.1.1.1。早先以为这次事件跟近期的攻防演习相干,后面颠末深入分析发现该事件并不是个例,我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的环境,且大部分用户基本没有感知。颠末开端统计,攻击者使用的挟制DNS节点数已有百余个,用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等,导致了一系列的解析非常。短时间范围内,大量用户投诉对国内紧张目标单元访问非常,造成严重安全隐患。
0x02 事件分析
盛邦安全烽火台实验室团结Panabit对该事件进行了专项分析,这起事件是属于典型的DNS挟制攻击事件,符合国外黑灰产构造的攻击特性。攻击者通过搜集公网可访问的路由器地址,利用毛病或弱口令获取路由器控制权限,修改路由器DNS服务器地址,到达中心人攻击的效果。团体的攻击流程如下图所示:
(图中假设攻击者对webray.com.cn进行了dns挟制)
https://img-blog.csdnimg.cn/img_convert/bd2f55dd3fb1dc7c5b64edd6c5e87fb7.png
用户在发起HTTP哀求之前首先会进行DNS哀求,由于绝大部分个人用户不会自界说DNS服务器,以是默认环境下会使用路由器的DNS服务器来进行域名解析。攻击者通过毛病把路由器DNS服务器篡改为自己可控的恶意DNS服务器,并添加解析记录webray.com.cn到恶意IP地址。用户拿到webray.com.cn响应的IP地址之后会与攻击者可控恶意IP创建链接,攻击者可控恶意IP通过实现中心人署理功能,把用户的哀求转发的真实目标服务器并响应真实服务器效果给用户。
基于DNS挟制的中心人攻击一般可以造成做到用户无感知,但这个事件还是导致了用户访问非常,从而慢慢发酵了出来,引起用户访问非常的缘故原由有以下两点:
颠末攻击者可控的服务器进行署理转发之后,会明显低落系统访问速度,造成访问哀求延长增大。
用户访问https协议的网站目标时,会因为中心人可控服务器没有受信任的证书而导致访问失败。
0x03 排查过程
中心人攻击是一种常见的网络攻击方式,一般环境下可以造成下面的两种危害:
造成信息泄漏,通过中心人攻击可以挟制用户流量,通过对流量中的敏感信息进行提取,获取用户认证信息等敏感内容。
造成远程权限获取,通过中心人攻击可以篡改用户流量,一般环境下中心人会把用户哀求转发到真实服务器,但是部分环境下可以通过对流量进行篡改到达RCE的效果。其中经典的用法是通过修改软件的升级更新包的响应内容,通过把响应内容更换为木马文件,到达自动运行的效果。
由于事件还在发酵,很难判断攻击者的最终目标是属于流量获取还是远程权限获取。但是不论何种环境,对用户来说都是属于较大的安全隐患。
那么用户应该如何排查自己的DNS服务器是否正常呢?我们把如今的环境做了总结,本次事件中的恶意DNS服务器广泛具有以下特性:
能解析的域名ttl改为了86400秒,即1天
使用unbound-1.16.2作为版本名称
以已知的恶意DNS 60.205.130.150为例,查询DNS服务器中ttl时间,可以通过dig发送恣意一个未解析过的域名,此处的daydaymap.com可更换为随机其它域名。
[*]
dig @60.205.130.150 daydaymap.com
https://img-blog.csdnimg.cn/img_convert/82ae0fc1d21ca7e8d8216b319f1cc4f7.png
查询DNS服务器中版本名称,可以通过dig发送version.bind的txt查询哀求,并通过chaos的方式进行展示。
https://img-blog.csdnimg.cn/img_convert/47c52b0166f604b5d4b4c7dbf97655ef.png
如果满足以上两个特性,基本就可以认定是被挟制的DNS服务器。
0x04 用户自查
我们基于以上特性对互联网上的DNS服务器做了全网摸排,环境不容乐观。典型的被挟制IP包括:
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
[*]
47.109.22.118.140.204.3947.108.228.5047.103.220.24739.108.114.149120.77.221.246106.15.3.137120.26.147.194106.15.192.10106.14.245.3047.108.190.13847.106.38.9647.100.115.82122.9.187.125120.79.129.19647.108.55.233123.56.132.204101.37.182.110101.201.60.214
如今这些IP都还存活,且基本都是国内公有云上的IP,更多被挟制的IP我们会在www.daydaymap.com上连续公开出来,检察方式如下:
访问DayDayMap首页,点击DNS挟制标签:
https://img-blog.csdnimg.cn/img_convert/81cdec215e6a82432414fadbce54d45b.png
点击后会检索语法ip.tag="DNS挟制",列出已探测到的被篡改的DNS地址:
https://img-blog.csdnimg.cn/img_convert/d1007caab63097014a665d01d1566f53.jpeg
用户自查方式:
1、登陆路由器后台,检察现有的DNS设置,如果备用DNS地址已被改为了1.1.1.1,需要尤其引起留意!
2、将主备DNS地址输入www.daydaymap.com进行查询,看是否有“DNS挟制”的标签,如存在该标签,尽快更换路由器并进行终端安全检测。
0x05 参考文献
[*]
https://lovelyping.com/?p=294
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]