2013年8月12日 星期一

荷蘭DNS伺服器遭駭 數以千計網站淪為惡意程式發送站

荷蘭DNS伺服器遭駭 數以千計網站淪為惡意程式發送站

本週有數以千計的荷蘭網站發送惡意程式,初步判定的結果為,位於荷蘭.nl網域名稱頂層網域管理組織SIDN內的DNS伺服器遭駭所致。上週一,荷蘭大型線上電子零售商Conrad.nl網站,被通報發現有發送惡意程式的行為,該網站隨即遭下線。原本一開始看似單一個案的事件,很快地竟演變成棘手的大問題。

根據多家新聞報導指出,週一早上,駭客嘗試存取SIDN的網域註冊系統(Domain Registration System, DRS),並成功地將SIDN網域註冊系統的流量,重新路由至外部的網域名稱伺服器上。

根據對整起事件進行調查的荷蘭安全公司Fox-IT指出,該駭客入侵事件造成數以千計的網域受到影響,所有不知情的網頁到訪者,皆被轉發到畫面顯示「建構中」的網頁上,同時並藉由內嵌的iframe散發惡意程式。

這隻被討論的惡意程式,其實就是黑洞漏洞攻擊套件(Black Hole exploit kit),該套件能藉由Java與PDF安全弱點獲得存取PC的權限。一旦遭到植入,會隨即下載能透過Tor匿名網路系統而與C&C主控伺服器相溝通的惡意程式。


雖然上述惡意重導向的行為很快就被發現,但該問題所引發的漣漪效應卻不斷持續擴大中。由於網域名稱伺服器的DNS生效時間為24小時,這意味著許多網際網路服務供應商(ISP)會使用錯誤域名長達24小時之久。

資料來源:ZDNet
轉載自《網路資訊雜誌》