安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】诡异的DNS,流量都去哪儿了?

http://p7.qhimg.com/t01466eb7f6b11acad5.png

 

翻译:wushen2017

预估

,或登陆网页版

前言


近来几天,我们收到了一些类似的协助清理请求,用户的网站时不时被重定向到广告、垃圾邮件、恶意下载相关的网站。

我们的安全分析师, Andrey Kucherov, 同研究团队一起做了初步跟踪。发现所涉及的原始网站,都是因为解析到IP地址213.184.126.163 而发生了重定向。重定向发生后,受害者实际访问到的是原网站的仿冒版——如www.example.com被重定向到ww2.example.com。

跟踪过程中,我们并没有发现这些原始网站存在什么问题,所以开始朝着DNS方向检查。

在全世界范围内检查这些原始网站的域名解析情况时,我们注意到有些探测服务器确实解析到了原始网站的正确IP,而还有一些则解析到了218.184.126.163:

http://p0.qhimg.com/t01bd711a8941707cc7.png

再来看这些原始网站的域名服务器,发现它们都用了NameCheap的FreeDNS服务。然而,不同的探测服务器针对同一个域名所查看到的域名服务器还不一样:

http://p0.qhimg.com/t010feeeb54694a9ce3.png

如图所示,有些是看起来很常规的域名服务器,如freedns1.registrar-servers.com ~ freedns5.registrar-servers.com。而其他则是看起来比较诡异的.biz域名——起始部分跟常规域名服务器部分相同,而中间部分则是随机填充值了。

http://p7.qhimg.com/t016d4c9a00f4e2c498.png

我们觉得这很可疑,决定继续跟踪,想确认这些域名是否真的属于NameCheap。从whois信息来看,它们确实是本周刚被NameCheap所注册的:

http://p5.qhimg.com/t015e25bb18dd2e9d04.png

http://p1.qhimg.com/t016ce627aff4b4e7df.png

而且它们也指向跟常规registrar-servers.com一样的IP。其中,有个例外——freedns1.registrar-serversv67eds0q.biz。

freedns1.registrar-serversv67eds0q.biz


它是两天前刚被上海的一个人注册的:

http://p0.qhimg.com/t01a7f1dce91484537d.png

而它解析到的,正是跟重定向相关的IP:213.184.126.163。

我们无法知晓NameCheap注册这些怪异的.biz域名作为域名服务器的原因,同时凑巧地几天后又有人注册了一个很类似的域名。其意图也很明显,准备更改那些使用FreeDNS的原始网站的DNS设置。

这事还没完。以下是一些曾经指向213.184.126.163的域名:

http://p1.qhimg.com/t01cf9c095e19dd090c.png

从名字来看,它们正是被注册用作域名服务器的,与前面的情况类似。

到目前为止,我们并不清楚这究竟是怎么发生的。是有人入侵了域名注册商的账户,更改了域名解析服务器,还是NameCheap的FreeDNS服务被入侵,替换了其中一个域名服务器。(译者注:这个诡异的freedns1.registrar-serversv67eds0q.biz 到底是否为namecheap所属?如果是其所属,则可能是被入侵进行了修改,将其指向恶意的213.184.126.163;如果不是namecheap所属,则可能是原始网站的域名解析服务器由原来的NameCheap提供的FreeDSN,被更改成了现在只是跟FreeDNS长得很像的freedns1.registrar-serversv67eds0q.biz。)

现在,已经观察到213.184.126.163已失活,域名服务器也恢复正常。 然而,因为dns解析缓存的存在,有些地区仍然可观察到受影响网站会被重定向到恶意网站.

DomainersChoice


在检查解析到213.184.126.163的域名时,我们注意到大部分域名是跟中国的DomainersChoice.com有关联的:要么是被它注册的,要么是使用了它的域名解析服务器(888DNS.NET)(前面提到的freedns1.registrar-serversv67eds0q[.]biz 也是有使用该解析服务器)

Conficker Sinkholed Domains


关于IP 218.184.126.163,还有一点比较有意思。查看下该IP在VirusTotal上的记录情况,你会看到诸如acawarkfegq[.]info, ahpamj[.]org, amfcsbetu[.]info 这样的域名也曾指向它。而这些域名都是被微软或者Afilias注册,用以应对飞客蠕虫的。

Conficker曾在2008~2009感染了全世界范围内数百万的电脑。为制止其感染,包括微软及顶级域名提供商、ISP在内Conficker 应对联盟,对Conficker涉及的千万个域名进行了阻拦。

不清楚为何这些已经被sinkholed的域名指向了213.184.126.163。


验证你的DNS设置和域名账户安全


如果你使用了NameCheap提供的FreeDNS服务,或者在它们那注册了域名,强烈建议您:

1. 到域名注册商那里检查你的域名服务器

2. 在你的DNS服务提供商那里检查你的DNS设置(通常这两个是一样的,但并不全是如此)

3. 更改你的域名注册商、DNS提供商那的账号、密码。

即便你没有用到这里提及的服务,也最好还是检查下域名的DNS设置,更换下密码。我们也曾见到其他更改网站DNS设置的案例:例如,他们会在合法下创建子域名,将其指向恶意服务器。

这也正是我们为客户提供DNS和WHOIS监控服务的原因。如果有人更改了配置(如域名所有者、联系信息或者域名服务器发生了变更),我们就会自动地将这些信息推送给客户,以便让他们进行确认,尽快采取措施,避免不必要的损失。

如果有以下情况,都请及时联系我们:你的域名受此类DNS攻击影响,或者你知道这里涉及的域名解析服务器是如何被更改的,以及NameCheap 为何使用如此诡异的域名作为解析服务器。


原文链接:https://blog.sucuri.net/2016/07/fake-freedns-used-to-redirect-traffic-to-malicious-sites.html

未经允许不得转载:安全路透社 » 【技术分享】诡异的DNS,流量都去哪儿了?

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册