站長手扎~SayCoo!

木馬竄改DNS設定 誘用戶上色情網站

DNS問題又添一樁。MSN首頁遭轉址事件才平息,資安廠商隨即發現一隻會盜改DNS伺服器設定的木馬,會讓搜尋龍頭Google變身色情網站。
上週傳出因DNS(網域名稱系統)設定錯誤,導致台灣區首頁遭轉址的微軟MSN事件才剛平息,趨勢科技又警告用戶注意一個會竄改電腦DNS伺服器設定的木馬程式家族TROJ_DNSCHANG,感染後電腦將會向惡意DNS伺服器發送需求,使用者便可能被導引到錯誤的網站,「使用者將會被導引向釣魚和色情網站,騙取個人資訊或網站流量,」趨勢科技技術顧問簡勝財說。
DNS為一將網域名稱與IP位置扣連的服務,由於IP位址為四組三位數字,不利使用者記憶,且IP位址未必永遠相同,因此一般電腦需要透過ISP業者或網域名稱維運機構設置的DNS伺服器,來取得與網域名稱扣連的IP位址,再藉由IP位址連上正確網頁。
簡勝財說,一般使用者多半不需要自行設定DNS伺服器,而是透過自動尋找功能使用ISP提供的DNS服務。但木馬在更動過電腦的DNS伺服器設定後,電腦將不再連向ISP的DNS,反而會向駭客維運的惡意DNS伺服器要資料,導致使用者上網時可能在網址正確的情況下,仍被導向惡意網頁。
簡勝財說,該木馬家族在今年初被發現後,至今已發現有115台惡意DNS伺服器在進行惡意轉址行為,並發展出數十隻不同變種,行為各自不同,與初發現時的單純轉址已不盡相同。
他舉例道,新發現的變種在一般情況下,都會正確處理使用者的連線需求,亦即導引到正確的網站,但若使用者鍵錯網址,例如把http://www.google.com中的www錯打…??網站上。
此外,某些變種則不論有無打錯網址,只要使用者欲連向某些特定網址,都會被導引到設計好的釣魚網站,意圖騙取使用者的個人資料。
簡勝財表示,一般使用者多半無從判斷DNS是否正常,且綁架DNS伺服器也不易被察覺,他建議使用者一定要留意作業系統與資安軟體有無做好更新、避免感染類似惡意程式。至於企業用戶,他則建議採用閘道端URL過濾等產品以減低風險。
MSN遭轉址亦肇因DNS
而遭轉址的MSN台灣首頁,雖亦肇因於DNS問題,但卻是因未做好變更管理導致,與上述DNS木馬因資安漏動而鑽進使用者電腦不同。
專家表示,微軟MSN遭轉址事件反應出組態設定與變更管理的重要性,「即便是更改DNS這麼簡單的事,都可能產生龐大影響,」惠普軟體事業處資深顧問王秉慎說。
他表示,組態設定與變更管理的規範必須確實落實到企業的營運流程中,而且不可因為事件本身單純便加以輕忽,「即便是修改DNS,都得需要遵循流程規定,並有專責人士比對,以免憾事再次發生,」他說。
王秉慎亦建議企業在某些人為介入容易出錯的流程,採用自動化工具,減低因打錯字、操作失當等因素造成錯誤發生的可能性。
微軟線上服務副總經理林燕表示,DNS設定錯誤在事發當日(9/6)便已修復,但由於ISP業者DNS系統及快取並非即時更新,導致直到隔日(9/7)使用者的抱怨才停止。

refer : http://taiwan.cnet.com/news/software…0123483,00.htm

Exit mobile version