DNS伺服器成為駭客的幫兇
CNET新聞專區:Joris Evers 27/03/2006 |
網路罪犯最近翻新分散式阻斷服務(DDOS)攻擊的手法,開始用形同網際網路黃頁的域名系統伺服器來發動攻擊,擾亂線上商務。
VeriSign上周表示,今年初發現該公司系統承受的攻擊規模甚於以往,而且來源不是被綁架的「殭屍」(bot)電腦,而是出自於域名系統(DNS)伺服器。
安全研究員Dan Kaminsky說:「DNS已成為DDOS重要的一環。門檻已降低了。人們現在可憑更少的資源,發動可能極具破壞力的攻擊。」
一旦成為DDOS攻擊的箭靶,目標系統不論是網頁伺服器、域名伺服器或電子郵件伺服器,都會被網路上四面八方的系統所傳來的巨量資料給淹沒。駭客的用意是藉大量垃圾訊息妨礙系統正常的資料處理,藉此切斷攻擊目標對外的連線。
以往,這類攻擊是青少年閒得無聊時的傑作,圖得只是看網站掛掉的那種快感。但如今,DDOS攻擊常被歹徒拿來當作勒索網路公司的武器,賭博網站和成人娛樂網站尤其首當其衝。
不同於被綁架的殭屍電腦,DNS伺服器是合法的網路良民,其作用是把文字型網域名稱(例如www.cnet.com)轉換成相對應的數字型網際網路協定(IP)位址,以引導使用者上他們想到的網站。
現在,駭客常用殭屍電腦連成的網路(botnet),把大量的查詢要求傳至開放的DNS伺服器。這些查詢訊息會假造得像是被巨量訊息攻擊的目標所傳出的,因此DNS伺服器會把回應訊息傳到那個網址。
駭客用DNS伺服器來發動攻擊有多重好處,可隱匿自己的系統,讓受害者難以追查攻擊的原始來源,更可讓攻擊效果加倍。Baylor大學資訊系教授Randal Vaughn說,單一的DNS查詢,可啟動比原始查詢大73倍的回應。
DNS發明人兼Nominum公司首席科學家Paul Mockapetris打個比方說,若你企圖讓垃圾郵件塞爆某人的信箱,基本的方法就是寄很多信到該地址,但你必須費很多時間寫信,而且發信來源追查得出來。
Mockapetris說:「更好的方法,是寄出雜誌裡常見的那種廣告回函卡,勾選各種想索取的資料,然後把回信地址填上目標信箱,就會讓那個信箱爆掉,同時消除與你有關的連結。」他說,用DNS伺服器發動DDOS攻擊,就是運用這種原理。
但如果攔阻一台DNS伺服器對外的連線,可能造成合法使用者無法傳電子郵件或瀏覽某網站。問題出在所謂的「遞迴域名服務」 (recursive name service)伺服器,是開放給網路上任何人查詢的DNS伺服器,估計數量從60萬台到560萬台不等。
Mockapetris說:「使用這些開放伺服器的人士,必須好自為之。不論知不知情,或是否怠惰,他們現在已成為這類攻擊的幫兇。他們是網際網路上的傷寒瑪麗。」
專家建議,要保護自家系統,企業可解除DNS伺服器中允許人人查詢網址的遞迴(recursive)功能,轉而調整伺服器設定,只對內部人士開放遞迴功能。目前使用DNS伺服器者包括網際網路服務供應商(ISP)以及企業和個人。(唐慧文)
http://taiwan.cnet.com/news/software/0,2000064574,20117624,00.htm
微軟修補DNS漏洞
CNET新聞專區:Joris Evers 04/05/2007 |
微軟公司本月份的安全更新將發佈七個安全快報,修補Windows、Office、Exchange和Biztalk等軟體的漏洞,包括已被用來發動網路攻擊的域名系統(DNS)零時差漏洞。
根據微軟網站3日公佈的訊息,5月份的安全快報將修補數量不明的Windows、 Office、Exchange和BizTalk之安全弱點。BizTalk的問題與"Capicom"相關,這是一種為應用程式加密的開發元件。
微軟表示,上述四套產品至少都有一項最高風險等級的更新。其中兩個快報針對Windows系統,三個屬於Office,另外一個針對Exchange和BizTalk。列為最高等級的安全問題,通常能讓攻擊者在不需任何、或只需少量使用者動作的狀況下,控制整個系統。
這次的更新將包含已曝光的Windows DNS漏洞。受影響的包括Windows 2000 Server和Windows Server 2003。微軟早在上月就警告這個問題已被用來發動「有限的」攻擊。Office的部分更新也可能針對早已曝光的幾個弱點。
除了提醒若干修補程式可能需要重開電腦或伺服器,微軟並未提供進一步的說明。
微軟上月共發佈六個安全快報。但更新釋出後不久,若干新的Office零時差問題和Windows DNS漏洞便曝光。某些安全專家稱這種現象為「零時差週三」(zero-day Wednesday)。(陳智文/譯)
http://taiwan.cnet.com/news/software/0,2000064574,20123305,00.htm
台灣MSN首頁遭轉址
記者馬培治╱台北報導 06/09/2007 |
微軟MSN台灣地區首頁今(6)日傳出遭轉址的事件,微軟在傍晚表示問題已經排除。
微軟線上服務品牌MSN的台灣首頁,發生遭駭客轉址事件,使用者今天若嘗試由網址www.msn.com.tw連結MSN首頁,便可能被轉址至 www.julianhaight.com/msnhack.html#。署名為Julian的駭客在轉址後的網站上聲稱並不會利用此項疑似微軟DNS設 定錯誤的事件做壞事,但他在該網頁上呼籲網友不要依賴微軟的資安服務,還不忘鼓勵網友嘗試Linux。
Julian在網站上解釋轉址手法。他表示,微軟可能是在設定域名系統(DNS)時,把網址錯打成一個不存在的網域名稱,他發現後便順勢 申請了這個原本不存在的網址,導致連至該DNS網址的使用者,皆會被轉址到他的網頁。他同時引用微軟向TWNIC註冊的DNS資訊表示,由於微軟同時設定 了五組DNS主機位址,但僅有一個網址設定錯誤,因此並非所有今日連上www.msn.com.tw網址的使用者,都會被轉址到該網頁。
值得注意的是,雖然駭客聲稱已控制msn.com.tw的五分之一流量,但台灣微軟似乎並未掌握到此一狀況。
微軟線上服務事業群行銷經理鍾婉珍表示,並未特別留意到首頁遭轉址的狀況,不過同時表示該問題應已修復。
對 於駭客的犯案手法並質疑微軟DNS設定打錯字一事,鍾婉珍則說,MSN首頁系統主機在美國,並由微軟美國技術人員負責維運,詳細狀況她尚難立刻回覆,但她 坦言最近的確有收到美國總公司通知台灣MSN,近日將進行DNS設定更動,但對於是否與此次事件有關,她表示詳情台灣方面暫時無法提供答案。
不過微軟認為此事件受影響的用戶應該不多。鍾婉珍解釋,由於去年起MSN已改由tw.msn.com作為台灣區首頁的官方網址,目前使用者多半由新網址連入,她認為由舊網址連入的用戶較少,影響層面應不大。
這並非微軟旗下網站首次出紕漏。今年七月時,微軟英國網站便傳出遭駭客入侵,網站內容遭置換的事件。此次事件雖非網站被入侵,但也可能令微軟網站維運的安全性、乃至該公司近來極力投入資安領域的行動,面臨質疑。
專家:加強更新覆核機制
資安專家認為,此次事件並非入侵事件,與安全性沒有直接關聯,但此例足以提醒企業在所有IT服務更新、維護時都應加強覆核機制,避免重蹈覆轍。
CA(組合國際)技術顧問林宏嘉便說,IT系統進行調整、更改設定時,都可能因各種原因而出錯,他認為此次事件之駭客只是在轉址後的網頁告知狀況,並未產生實質危害或在該網頁置入惡意程式,「可以說是有驚無險,」他說。
林宏嘉提醒,組態設定與變更管理涵蓋層面很廣,會發生問題的不僅僅是DNS的設定,「標準流程與覆核機制必須先準備好,才可避免類似問題重演,」他說。
http://taiwan.cnet.com/news/software/0,2000064574,20123483,00.htm
木馬竄改DNS設定 Google變色情網站
記者馬培治╱台北報導 10/09/2007 |
DNS問題又添一樁。MSN首頁遭轉址事件才平息,資安廠商隨即發現一隻會盜改DNS伺服器設定的木馬,會讓搜尋龍頭Google變身色情網站。
上週傳出因DNS(網域名稱系統)設定錯誤,導致台灣區首頁遭轉址的微軟MSN事件才剛平息,趨勢科技又警告用戶注意一個會竄改電腦DNS伺服器設定的木 馬程式家族TROJ_DNSCHANG,感染後電腦將會向惡意DNS伺服器發送需求,使用者便可能被導引到錯誤的網站,「使用者將會被導引向釣魚和色情網 站,騙取個人資訊或網站流量,」趨勢科技技術顧問簡勝財說。
DNS為一將網域名稱與IP位置扣連的服務,由於IP位址為四組三位數字,不利使用者記憶,且IP位址未必永遠相同,因此一般電腦需要透過ISP業者或網域名稱維運機構設置的DNS伺服器,來取得與網域名稱扣連的IP位址,再藉由IP位址連上正確網頁。
簡勝財說,一般使用者多半不需要自行設定DNS伺服器,而是透過自動尋找功能使用ISP提供的DNS服務。但木馬在更動過電腦的DNS伺服 器設定後,電腦將不再連向ISP的DNS,反而會向駭客維運的惡意DNS伺服器要資料,導致使用者上網時可能在網址正確的情況下,仍被導向惡意網頁。
簡勝財說,該木馬家族在今年初被發現後,至今已發現有115台惡意DNS伺服器在進行惡意轉址行為,並發展出數十隻不同變種,行為各自不同,與初發現時的單純轉址已不盡相同。
他舉例道,新發現的變種在一般情況下,都會正確處理使用者的連線需求,亦即導引到正確的網站,但若使用者鍵錯網址,例如把www.google.com中 的www錯打成wwe,一般情況下因為網頁並不存在,瀏覽器應會顯示錯誤訊息,但惡意DNS伺服器卻會把這些打錯的網頁轉引到色情網站上。
此外,某些變種則不論有無打錯網址,只要使用者欲連向某些特定網址,都會被導引到設計好的釣魚網站,意圖騙取使用者的個人資料。
簡勝財表示,一般使用者多半無從判斷DNS是否正常,且綁架DNS伺服器也不易被察覺,他建議使用者一定要留意作業系統與資安軟體有無做好更新、避免感染類似惡意程式。至於企業用戶,他則建議採用閘道端URL過濾等產品以減低風險。
MSN遭轉址亦肇因DNS
而遭轉址的MSN台灣首頁,雖亦肇因於DNS問題,但卻是因未做好變更管理導致,與上述DNS木馬因資安漏動而鑽進使用者電腦不同。
專家表示,微軟MSN遭轉址事件反應出組態設定與變更管理的重要性,「即便是更改DNS這麼簡單的事,都可能產生龐大影響,」惠普軟體事業處資深顧問王秉慎說。
他表示,組態設定與變更管理的規範必須確實落實到企業的營運流程中,而且不可因為事件本身單純便加以輕忽,「即便是修改DNS,都得需要遵循流程規定,並有專責人士比對,以免憾事再次發生,」他說。
王秉慎亦建議企業在某些人為介入容易出錯的流程,採用自動化工具,減低因打錯字、操作失當等因素造成錯誤發生的可能性。
微軟線上服務副總經理林燕表示,DNS設定錯誤在事發當日(9/6)便已修復,但由於ISP業者DNS系統及快取並非即時更新,導致直到隔日(9/7)使用者的抱怨才停止。
http://taiwan.cnet.com/news/software/0,2000064574,20116225,00.htm
Windows漏洞 可導致網路遭劫
CNET新聞專區:Joris Evers 26/03/2007 |
安全研究員警告,Windows PC取得網路設定的方式有瑕疵,可讓攻擊者劫持整個網路的交通。
安全公司IOActive的研究員在ShnooCon駭客會議上指出,問題起於Windows PC用來取得proxy設定的設計錯誤。攻擊者能藉此進入公司的網路,插入一個惡意的proxy,監視所有交通。
IOActive研究與開發主任Chris Paget在會後表示:「結果是我能在你不知情的狀況下,成為你的代理伺服器。我可以在你的網路放上一個相當於繞道的標示,更改所有交通的方向。」
Paget 指出,這是因為Windows PC的IE瀏覽器預設值,是用Web Proxy Autodiscovery Protocol(網路代理自動發現協定,或WPAD)尋找代理伺服器。攻擊者可輕鬆地利用Windows Internet Naming Service(Windows網路命名服務,或WINS)和其他網路服務,如Domain Name System(DNS,網域名稱系統),在網路上註冊一個代理伺服器。Paget說:「當IE啟動,會先詢問網路代理伺服器在哪裡。你只要輕鬆地伸出頭 說:我在這裡。」
微軟也在25日發表於TechNet網站的支援文章中承認此一問題。該文寫道:「若某個實體暗中地在DNS或WINS註冊一個WPAD入口…客戶的網路交 通可能被導往某個惡意的代理伺服器。」Paget說,若攻擊成功,所有網路交通都將通過惡徒的代理。這代表對方能存取所有資料、更改和操縱資料,執行任何 惡意的行動。
但Paget和同僚安全專家Dan Kaminsky都認為,這個問題並不嚴重。唯有造惡徒鎖定的私人網路才可能被攻擊,並非整個網際網路。Paget說:「企業面臨的最大風險會是內部的惡徒。這不值得大規模的恐慌或發佈緊急公告。」
但問題仍須解決。內部的威脅確實存在,此外,由於其他漏洞愈來愈難利用,代理漏洞可能讓惡徒躍躍欲試。Kaminsky說:「緩衝區溢流和其他漏洞已經比以前難用,所以攻擊者對這類的設計問題愈來愈感興趣。」
WPAD的問題並非新聞。微軟曾在7年前修補IE,原因是該瀏覽器若無法在區域網路找到代理伺服器,便會轉向網際網路尋找,讓惡徒得以提供瀏覽器足以引發 大型攻擊的設定。這個問題被某個註冊"wpad.org.uk"域名的人利用,他向搜尋的Windows PC提供一個"wpad.dat"檔案和代理資訊。那些PC的使用者最後無論輸入任何網址,都會被導往一個線上拍賣網站。
微軟在其支援文章中列出網路管理員解決WPAD問題的步驟,包括保存靜態WPAD DNS代管名稱和保存WPAD WINS名稱記錄。Paget表示,如此一來,攻擊者的惡意WPAD名稱便無用武之地。(陳智文/譯)
http://taiwan.cnet.com/news/software/0,2000064574,20105043,00.htm
新阻絕服務攻擊現身
CNET新聞專區:Dawn Kawamoto 17/03/2006 |
Verisign公司的安全首長表示,新型態的阻絕服務攻擊(DOS)已經現身,對大型系統的威脅更甚於以往。
Verisign安全長Ken Silva指出,新的DOS攻擊在去年12月底出現,至今年1月達到高峰,一直到四周前漸趨緩和。在不到兩個月的期間內,共有1,500個不同的IP位址遭到這種攻擊。他說:「這些攻擊的規模之大,都是前所未見。」
一般的DOS攻擊是利用遠端攻擊者所控制的殭屍電腦,向受害的網頁伺服器、名稱伺服器或郵件伺服器發出同時、大量的資料封包,讓對方疲於回應,目的是癱瘓受害的系統。
Silva表示,但最新型態的DOS攻擊,殭屍電腦直接向DNS(網域名稱)伺服器發出請求,並將回應位址訂為受害系統。因此,攻擊來源由殭屍電腦變為DNS伺服器,整合的攻擊效應更大,阻擋的難度也更高。
Silva 說,殭屍電腦發出的DOS攻擊,可藉由封鎖該電腦的IP位址解決,阻擋DNS伺服器的請求則較困難。他指出,可能的解決方案是,組織可重設其DNS伺服 器,防止所謂的遞回域名服務功能,但此舉也可能把潛在的顧客、伙伴、研究員和其他有利人士的DNS請求擋在門外。(陳智文)
http://taiwan.cnet.com/news/software/0,2000064574,20116906,00.htm
Windows DNS攻擊碼現身
CNET新聞專區:Joris Evers 17/04/2007 |
安全專家警告,尚未修補的Windows安全漏洞已出現攻擊碼,增加大規模攻擊的風險。
賽門鐵克公司16日發佈的警告指出,至少有四組針對Windows域名系統,或DNS的弱點攻擊碼,已在網路上流傳。該公司已將其攻擊風險指標ThreatCon提升到第二級。
遭鎖定的安全弱點主要影響Windows 2000 Server和Windows Server 2003。微軟曾在上週警告,公司已接獲該弱點之「少數攻擊」的通報。不過,當時攻擊碼尚未公開流傳。這類程式可協助惡徒製作惡意軟體破壞Windows系統。
微軟安全反應中心員工Christopher Budd在公司部落格表示,微軟正在處理該問題。他寫道:「我們注意到,僅管利用該弱點的概念驗證碼曝光,攻擊仍然有限。」微軟建議使用者採用該公司建議的 迴避措施。
安 全業者McAfee 16日午後表示,該公司發現一個利用DNS弱點的Nirbot變種。 Nirbot是一種典型的蒼蠅蠕蟲(botworm),攻擊者可透過網路聊天軟體Internet Relay Chat完全控制受害電腦。根據McAfee的描述:「攻擊者可控制受害電腦,再用它來發送垃圾郵件、安裝廣告軟體,或對網路系統發動分散式阻斷服務攻擊 (DDOS)。」Nirbot(又稱Rinbot)家族有多種版本。
只要對DNS服務送出有害的資料就可發動攻擊。該服務是為協助找尋網路位址。現有弱點影響DNS RPC(遠端程序呼叫)界面,一種應用軟體跨網路發送工作要求的協定。
微軟指出,該弱點無法透過標準DNS接口TCP/UDP 53被利用,RPC界面通常放在1024和5000網路接口之間。SANS Internet Storm Center表示,這一點有助抑制風險。該公司的部落格寫道:「擁有基本安全週邊設計的網路只會允許53 UDP/TCP接口連接可信的DNS伺服器,絕不是可被利用的額外RPC接口。」
但這個問題仍不容忽視。網站代管公司可能用單一伺服器提供各種網路服務,而Active Directory伺服器通常也提供DNS,這些都可能被利用。
微軟表示,DNS瑕疵不影響Windows XP或Vista。但Windows 2000 Server Service Pack 4、Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2有受害風險。(陳智文/譯)
--
[垃圾桶] 裡沒有會話群組。 當您有 2000 MB 以上的儲存空間時,誰還需要刪除郵件?!
沒有留言:
張貼留言