網站轉址攻擊-ARP掛馬

從上一篇「網站轉址攻擊事件」發文後，有朋友來信問我，為何能確信是「ARP掛馬」，而不是「IP-Spoofing」。

事實上，此攻擊事件不論是「ARP掛馬」或是「Non-Blind Spoofing」，都能得到類似網站轉址的效果。

看來這回的攻擊事件，爭議點只剩下究竟是「ARP掛馬」還是水落石出的「Non-Blind Spoofing」。


我曾看了 Fyodor Y. 的留言以及他的看法，也和他交換了意見，對於他的技術能力，我毫無懷疑，甚至我覺得他寫的「Non-Blind Spoofing」模擬攻擊程式寫得很好，很值得研究參考。

那為何我不選擇相信是「Non-Blind Spoofing」，難道我有作什麼實驗，或是整天在網路上抓封包測試嗎。我的依據是什麼呢？

這篇，我就來說明一下這兩個攻擊的可能性，以及我的質疑和判斷。

「Non-Blind Spoofing」這個攻擊，事實上是需要封包監聽以及插入封包，並且搶在真正的回應封包前，傳送惡意封包回 Client 端。

那要在那個網路節點上封包監聽作這樣的攻擊呢？任何一點都有可能。
但問題是，有可能監聽到嗎？二話不說，馬上實驗，各位就立刻執行 Wireshark 看看，來監聽看看你老闆的 MSN 吧！若是你聽到了你老闆的的談話，你就選擇相信「Non-Blind Spoofing」，一點問題都沒有。

另外有一種可能。這也是水落石出的可能了:

「某個網路節點的 Router 被入侵，並且改了設定」

這是要逼 ISP 啞巴吃黃蓮嗎？

Router 被入侵的可能性當然是有，然而中華電信 ISP 天天在檢查，完全沒有發現異常的情況。

再說，改了設定是要把封包 Mirror 到那裡？ 中華電信機房該 Router 旁的主機嗎？
那來的這台「Router 旁的主機」？中華電信機房可以隨便放機器就是了？
那設定封包 Mirror 到較遠的主機呢？那你怎麼搶送封包回 Client 端？
而且能不能照原路由傳送回假封包都是問題！！
以上問題若不能回答出來，就請別再誤導各位網友了好嗎？

好，那另外一種「ARP掛馬」攻擊的可能性呢？

我在上一篇文章有提到，國內之前早有人揭漏了「ARP掛馬」攻擊。而最近的國外安全研究機構 SANS 的討論，大家可以看一下 Massive ARP spoofing attacks on web sites
這篇。

另外，遠在 2007 年的一篇技術報告 "Studying Malicious Websites and the Underground Economy on the Chinese Web" 中提到「ARP 掛馬」攻擊大陸的 "Norton China" 網站，我擷圖如下，覺得不清楚或想看整篇文章的朋友可以自行閱讀。


此外，這一兩年大陸駭客在各駭客論壇或駭客雜誌裡，早已把「ARP 掛馬」講到爛了，有興趣的朋友，可 Google 「ARP 掛馬」或「ARP-Spoofing」，有一堆的事件資料可參考。
這說明了什麼呢？這說明，利用「ARP-Spoofing」作攻擊是最可行的方式！

也許有人質疑，這回攻擊所側錄的封包和使用「ARP掛馬」攻擊的封包有些差異。但是，就憑網路封包 ID/TTL 的不同，就說和「ARP掛馬」無關，這樣的否定會不會太粗糙了？

要修改封包回應或插入不同的封包內容，這對程式能力高的駭客來說，這是幾分鐘就可以改的，要亂數處理也行，愛怎麼變就怎麼變，唯一不變的是，要達成這樣的攻擊，「ARP Spoofing」是最容易，也最現成，更是大陸駭客流行許多的手法，而且，重要的是

「不會有駭客這麼閒，整天在看部落格後一直改攻擊程式的」。


所以，從以上我的觀點，所得到的結論如下:

1. 會作 ARP-Spoofing 掛馬攻擊的原因，絕大部份是因為該網站的防護很強，無法攻破後直接掛馬，所以只好作 「ARP 掛馬」。
2. Sniff 不同網站的封包流量當然有可能得到不同的攻擊方式，而且不用預測下一波，因為「ARP 掛馬」不斷發生，總是會有新聞可以炒作。這點資安專家們可以安心。
3. 和基礎架構和設備無關，這類的攻擊在世界各地都可能常發生。

最後我要說的是：
指控中華電信 ISP 的路由器有異常，是非常嚴重的事，也關係著商譽問題。一般說來，資安專家或廠商發現了異常或漏洞，都會有道德的與出問題的一方作好溝通，釐清真正問題點，再選擇適當時機公佈詳細資訊(Full−disclosure)。

但是，若證據都不足的情況下，貿然的指控，只是會令人懷疑背後的動機。

身為資安廠商，除了技術能力和新聞議題外，更重要的是道德，不是嗎？

Avast 誤判 Blog 有 JS:ScriptPE-inf [Trj]

晚上有網友告知使用 Avast Home Edition 4.8.1335 (VPS 090310-0)，瀏覽本部落格會有病毒警示 JS:ScriptPE-inf [Trj]。

但是這邊使用 Blogger 系統，所有 Element 都是 Blogger 自己的，會突然發生這樣的問題真的很詭異...

後來仔細檢查很久，應該是 Recent Posts 的 Feed 內有 Pattern 誤判了。
目前已經回報 Avast，這陣子 Recent Posts 就暫時將數量減為一篇。
待誤判解決之後再行開放。

如果有造成一些讀者困擾請見諒。:-D

網站轉址攻擊事件

上週開始，陸續有人發現在連到 www.msn.com.tw、tw.msn.com、taiwan.cnet.com 等網站時，發生了一些異常行為，瀏覽器被硬生生的導到其它網站(www.dachengkeji.com) 等。

詳細的討論可看 Richliu 的某些 ISP 疑似被 hijacking 攻擊 一文。

事情看來很大條，各專家紛紛出來澄清或解釋這樣的攻擊。
有專家說，這是「新型態的網路攻擊手法」！
有專家說，這是「電信業者的DNS主機遭攻擊」！
有專家說，這是「某 ISP 的路由器(Router)被攻破」，甚至還說 Router 被感染了。真不知道是被感染了什麼鬼玩意。
當然也有專家真的分析了封包內容，提出了可能是「Non-Blind Spoofing」的結論。

看到這些說法，我其實蠻訝異的。

我上週知道這件事發生後，就和幾位 CHROOT 的成員討論過，並在第一時間透過管道，得到了 ISP 的「三不一沒有」的資訊:
「不是 DNS 問題、不是 Proxy 問題、不是 Router 問題，沒有被入侵」
(昨日 3/9, 中華電信資安辦公室證實了這點 http://www.itis.tw/node/2601)

而我們的結論是「這是大陸駭客愛用的 ARP Spoofing 攻擊」，不過攻擊地點在 IDC 端。
我們以為這並非什麼新的攻擊型態，不過專家就是專家，總要有自己的看法，不知道原因的，也要說成是新的攻擊型態，混合了幾種專業名詞大家就點頭稱是了。

事實上，對岸駭客真的把「ARP Spoofing + 網頁掛馬」，簡稱「ARP 掛馬」技術發揮到了極點，從 MSN SHELL 所在SERVER遭ARP掛馬 就提到了在 IDC 端的「ARP掛馬」案例。

我的看法如下:
1. 被導向的網站 www.msn.com.tw、tw.msn.com、taiwan.cnet.com，「當時」都在位在新加坡電信Singtel。我想應該台灣的 ISP 應該和新加坡電信窗口聯絡，知會一下狀況。

2. 並非每次或每個人瀏覽都會被導向，原因應該是流量過大，封包處理不及，或是該攻擊有時間間隔處理。

3. 此事件中，看來只有從台灣連去的封包被影響，有針對性。

4. 以現在的工具來看, 利用 「ARP 掛馬」發展得很成熟，大家可以 google 看看 zxarp，我甚至可以告訴你，這個工具參數怎麼下，放在「對」的地方，就可以造成這次的效果。呃，上述的第 2、3 點，該工具都有參數支援啦。

當然啦，每個人的看法不同，堅持是什麼「新的攻擊型態」的專家，或許這回真的可以揚名國際！但若是真的「ARP 掛馬」，也請認真的研究一下這個攻擊，並提醒大家，這種攻擊的嚴重性。

至於會不會有真的證明是「ARP 掛馬」呢？我不知道！(謎之聲: 誰會承認自己 IDC 被 ARP 掛馬)

套句某駭客的名言「忍一下就過去了！」，有道理，不是嗎？ :-)

巨匠電腦網站遭植入惡意連結

巨匠電腦-技術育成學苑網站遭植入惡意連結，所幸掛馬並沒掛好，目前不會影響正常網站瀏覽者。


透過google可查詢到多個頁面遭植入惡意連結，應為資料庫遭入侵大量寫入惡意連結資訊。




部分惡意連結內容已被移除，但仍有部分頁面存留有惡意連結內容，建議巨匠電腦應盡速檢測所有網站內容，確認受駭程度與是否造成客戶資料外洩等損害情形，並盡速進行資安檢測與漏洞修補，避免類似受駭情形再度發生。

(駭客日劇)Bloody Monday

最早聽到這部日劇是在立子異言堂，
當時還想說怎麼有這麼白癡的日劇，
有空一定要找來看一下，
想著想著不知不覺間就忘了這件事了！

一直到前陣子某黑瓜大又貼了一篇thomas大大的文章，
眉頭一皺，只覺得事情並不單純，
兩篇部落格文章討論的是同一部日劇嗎？
為什麼會有這麼大的落差？
看來這下子不去找片子來鑑定一下，
是無法滿足我的好奇心了！

才剛看完第一集，
真相馬上水落石出了！
果然是thomas大大的文章比較中肯，
片中的dir...cd...等DOS指令，
都是在黑進去後搜尋對手來不及刪除掉的檔案時所下的，
所以並沒有太大疑問，
不是真的隨便下幾個DOS指令就摸進去了...

片中運用了許多常見的駭客工具，
如常見的NMAP、John這類工具，
也大量運用了各種的攻擊手法，
除了運用remote exploit做遠端攻擊外，
還用了社交工程、sniffer、MIM、spoofing、連線劫持，
當然也沒忘了近年來最熱門的網頁漏洞攻擊，
而且還連power lan都用上了...XD
比起好萊塢那些大成本製作的電影，
這部日劇顯然下了更多考據的工夫！
蠻好奇他們是找哪個駭客團體或資安社群擔任顧問的，
也許哪天台灣要拍攝這類題材的影片時，
我們還可以多一個賺外快的機會！

另外，片中有些工具似乎是自行開發的，
網路上似乎沒看過在流通，
主角高木藤丸用來開機的隨身碟，
大概是拿BackTrack來改的吧，
等有空再來玩玩看好了...XD

片中最令我印象深刻的部分，
大概就是主角藤丸被要求在數分鐘內黑進某單位，
藤丸在使用webscan工具時，
還特地skip掉XSS Scan以節省時間，
連這麼小的細節都兼顧到了，
真的是比今天irc上來踢館的某國駭客來得有sense多了！


如果硬要挑剔，
當然有是有些小瑕疵，
例如藤丸攻擊的每台主機似乎都剛好存在有漏洞？
(或是藤丸有一堆remote 0-day沒有公開:p)
還有黑站的效率也太高了些！
但這些都是小問題，
畢竟是娛樂嘛！
總要加點戲劇性效果才會好看，
而且，至少比起其他把駭客神化的片子，
Bloody Monday至少沒有太多錯誤的觀念跟太唬爛的技巧，
不管是站在娛樂角度或技術角度，
這都算是一部水準之上的片子^_^y

ps.也許可以設計一套Bloody Monday的wargame課程，
只是版權不知道該如何計價或授權就是了
(Ex：每個學員送一套正版DVD？？)