2007年的資安界發生一件妙事:由於微軟人員設定錯誤,MSN的臺灣首頁發生遭駭客轉址的事件。「msn.com.tw」的域名伺服器應指向「dns.cp.msft.net」,微軟人員卻誤指向「dns.cpmsft.net」(少了一個點)。署名為朱利安(Julian)的駭客發現這個疏失後,偷偷註冊了「 dns.cpmsft.net」的網域名稱並動個小手腳,為「msn.com.tw」填上假目標。當使用者連至「http://www.msn.com.tw」時,就會被自動轉址到「http://www.julianhaight.com /msnhack.html#」。不過朱利安並無惡意,他在導向網站上聲明,不會利用此問題從事任何惡意活動。雖然未造成重大損失,但這個MSN轉址事件突顯了一個重要安全問題:域名假造。

網域名稱解析的重要性
對於大部分網站使用者來說,域名解析是個重要關鍵。很少使用者會去背網站的真實IP位址,而許多網址也只以域名提供服務,而不允許使用IP連結。使用者要瀏覽網站時,多半鍵入的是網站網域名稱,像是www.google.com、www.microsoft.com,再仰賴域名解析服務(DNS)來找到網站真正位置。即使利用搜尋引擎來尋找,結果中顯示的也多半是域名網址。若此時域名遭篡改,使用者就會在不知不覺中被轉入偽造網站。

網址嫁接
網址嫁接(Pharming)技術指的就是利用偽造域名的技術來欺騙使用者。常見的手法可分為兩大類:一種是修改本機的hosts檔案,木馬與病毒經常利用此一方式。另一種就是偽造域名,最常用的技巧稱作DNS 快取污染(DNS Cache Poison)。DNS 快取污染的實作通常是針對DNS伺服器的漏洞,讓攻擊者得以任意添加或修改域名記錄。除了DNS 快取污染,攻擊者也可建立假的域名伺服器,或直接入侵現有的域名伺服器主機,藉此影響部分區域的使用者。

攻擊者修改域名的目的,最主要是要將使用者導向偽造網站,或促使連結失敗。最喜歡域名欺騙的當屬廣告網站和競爭廠商了。

廣告網站可藉由修改域名,將瀏覽率高的知名網域(Google、Baidu等),甚至所有查詢失敗的域名解析都導向自己的廣告頁,藉以提高點擊數或不正當地增加曝光率,效益遠比廣告郵件和付費搜尋排名都大得多。競爭廠商更是具有強烈商業動機。舉例來說,若將「A拍賣」的域名改至「B拍賣」的主機,一方面可以減少「A拍賣」的使用者,讓「A拍賣」使用者的信心流失;一方面也可以增加「B拍賣」的使用者數。

另一個偽造域名的目的,則是要避過安全防護機制。舉例來說,網蟲或木馬會搜尋所有防毒廠商的域名,像是將所有知名廠商病毒碼更新網站的域名記錄改為 127.0.0.1。當使用者想要更新病毒碼時,就會因為解析錯誤而更新失敗,接下來就是惡意程式大顯身手的時間。除了防毒網站,系統更新網站也是目標之一。不消說,微軟自動更新服務就是首要目標。試想若上例中設定錯誤的,不是MSN臺灣首頁,而是微軟的自動更新網站。當有重大漏洞被公布時,使用者卻因為域名問題,遲遲無法修補作業系統或應用程式,在這個瞬間,就為新網蟲提供成千上萬的跳板。這是偽造域名所帶來的龐大威脅。

與網路釣魚很相似
既然可以阻止更新,是不是也可以反過來利用,將惡意程式埋入使用者主機呢?前年有家B大廠發生過嚴重的資安問題,網站上所有產品的驅動程式都被置換成木馬。B大廠的使用者因為信賴B大廠,即使防毒程式狂叫不已,仍很有自信地安裝這些加料後的驅動程式,因而資料紛紛被盜。

現在駭客更輕鬆了,根本不用大費周章去入侵網站,只要利用網址嫁接技術就可以達到相同效果。駭客將B大廠的域名對應改到自己架設的主機上,再複製B大廠的網頁結構於主機上,就可以讓使用者在瀏覽時察覺不出真假。所有可下載的程式其實都是木馬,只是在網址看來正確,網頁內容又看起來正常的狀況下,瀏覽者實在很難不被騙。

這種手法聽起來很熟悉?是的,網址嫁接本來就是網頁釣魚(Phishing)的兄弟。網頁釣魚最困難的部分就是如何誘騙使用者進入假網站,一旦使用者警覺性很高,網址一有不對勁就離開,網頁釣魚就很難成功。但有了網址嫁接協助,駭客根本不用費神申請類似網址或縮址,也不用發信或寫廣告文章一個個去欺騙使用者。只要直接改掉域名記錄,大批使用者就會自動上門。若前面的MSN例子發生在各類交易與拍賣網站身上,像是國外駭客最覬覦eBay或Paypal等,駭客就可輕易利用假網站取得使用者的帳號與密碼。

網路銀行也是重點目標之一,尤其是採用SSL機制的網站。網址嫁接是中間人攻擊(Man-in-The-Middle)的重要工具之一。當使用者連到偽造主機後,偽造主機會發出憑證給使用者要求進行SSL加密。

懂得密碼學的讀者可能會問,駭客怎麼可能會有真實網銀的私密金鑰來處理憑證呢?其實駭客迴避的方法很多種,像是複製真實網站的憑證發給使用者,但是其實並沒有用到SSL加密,全程用明文傳輸。或者是直接發出沒有經過公開憑證中心簽署過的偽造憑證,反正大部分使用者看到SSL警告訊息,都已經習慣性按下確認略過。使用者看到SSL後,往往就認為網站很安全,而安心進行交易,殊不知,交易對象已經變成駭客,交易過程加密得再安全也是沒用。

愈接近使用者端、愈偏區域性的域名欺騙,通常愈難以被發現。雖然域名伺服器入侵或修改域名必須具備一定條件才可達成,但是成功後,用戶和被偽造的域名註冊人幾乎都很難察覺,潛在風險難以量化。惟域名伺服器管理者多加小心,才不會害自己公司的同事整批成為網址嫁接受害者。

taichenyu 發表在 痞客邦 PIXNET 留言(0) 人氣()