對於近日發生的MSN、CNET等網站首頁遭轉址事件,資安專家經研究後表示,整起事件初步排除DNS伺服器遭入侵,而可能是駭客利用TCP/IP網路協定漏洞攻擊所致。
本週起陸續傳出使用者連上MSN、CNET等網站時,原本想要瀏覽的網站首頁被轉址至大陸不知名網站,由於被轉址的為知名網站,整起事件影響層面相當廣,因此在網路上一片熱烈的討論。
原本部份資安業者指出,問題點可能出在DNS遭入侵轉址,但經過分析研究後,專家認為,駭客可能是利用TCP/IP網路協定漏洞攻擊。
趨勢科技資安顧問林松儀在其部落格中指出,雖然就結果來說,整起事件看似DNS遭入侵轉址,但實際分析網路封包傳送後會發現,這是一起駭客利用對網路協定的瞭解所發起的TCP Hijacking攻擊,利用模擬真正封包的假封包,將隱含HTTP轉址指令的假封包回應給使用者,使其被導往其他網站。
事件發生後Cisco也發佈警告,指轉址事件為駭客利用掃描網路封包,模擬正確封包syn/ack識別製造出假封包,將使用者瀏覽網址轉址至其他惡意網站,以達到散播惡意程式碼或進行其他惡意行為的目的。該起事件並非所有瀏覽者均受影響,而是經由特定受感染路徑傳送封包才會發生。
實際測試轉址過程的阿碼科技創辦人兼執行長黃耀文則表示,相較於一般DNS轉址修改伺服器端網址方式會在IE瀏覽器網址列上顯示正確網址,此次TCP/IP攻擊事件因採假封包轉址,因此瀏覽器網址列會顯示惡意網站網址而非正確網址。
由於這次轉址攻擊是利用封包傳送過程進行,因此很難判斷受駭客操控的節點在ISP或是網站業者端,需要ISP與網站業者一起層層追溯才能釐清問題點,而這也是此次事件難有效解決的原因。
不過,黃耀文指出,經實際實驗結果,上週日開始轉址只會在使用者第一次進入該首頁時發生,當使用者重新在網址列再輸入一次正確網址就會恢復正常,瀏覽器會回到正確網站首頁。若是想避免被轉址至其他網站遭惡意程式感染風險,他建議使用者可在網址列平時輸入的http://…改為https開頭,可事先預防被轉址的風險。
Cisco發佈警告:
MSN轉址