有攻擊者正發(fā)動中間人攻擊 GitHub和京東受影響最大

安全 PRO 作者：ksbugs 2020-03-27 01:39

據(jù)藍點網(wǎng)網(wǎng)友反饋,有攻擊者正在大規(guī)模的發(fā)起中間人攻擊劫持京東和 GitHub 等網(wǎng)站。此次攻擊很有可能是基于 DNS 系統(tǒng)或運營商層面發(fā)起的,目前受影響的主要是部分地區(qū)用戶但涉及所有運營商。例如中國移動、中國聯(lián)通、中國電信以及教育網(wǎng)均可復(fù)現(xiàn)劫持問題,而國外網(wǎng)絡(luò)訪問這些站點并未出現(xiàn)異常情況。

由于攻擊者使用的自簽名證書不被所有操作系統(tǒng)以及瀏覽器信任,因此用戶訪問這些網(wǎng)站時可能會出現(xiàn)安全警告。從目前攻擊情況來看此次發(fā)起攻擊的黑客很可能是初學者,而攻擊目的很有可能只是在測試但沒想到規(guī)模如此大。讀者可以點擊以下鏈接進行測試:https://z.github.io??https://koajs.com/

大量用戶無法正常訪問京東和GitHub:

從目前網(wǎng)上查詢的信息可以看到此次攻擊涉及最廣的是 GitHub.io,其次用戶訪問京東等國內(nèi)知名網(wǎng)站亦會報錯。查看證書信息可以發(fā)現(xiàn)這些網(wǎng)站的證書被攻擊者使用的自簽名證書代替,導(dǎo)致瀏覽器無法信任從而阻止用戶訪問。自簽名證書顯示證書的制作者昵稱為心即山靈,這位心即山靈看起來就是此次攻擊的始作俑者。所幸目前全網(wǎng)絕大多數(shù)網(wǎng)站都已經(jīng)開啟加密技術(shù)對抗劫持,因此用戶訪問會被阻止而不會被引導(dǎo)到釣魚網(wǎng)站上去。如果網(wǎng)站沒有采用加密安全鏈接的話可能會跳轉(zhuǎn)到攻擊者制作的釣魚網(wǎng)站,若輸入賬號密碼則可能會被直接盜取。

注 :此QQ號從此前某數(shù)據(jù)庫里可檢索出使用者為某校高中生,不過尚不清楚是高中在校生還是已經(jīng)從該校畢業(yè)。

攻擊者可能是初學者正在進行測試:

從攻擊者自簽名證書留下的這個扣扣號可以在網(wǎng)上搜尋到部分信息,信息顯示此前這名攻擊者正在學習加密技術(shù)。這名攻擊者還曾在技術(shù)交流網(wǎng)站求助他人發(fā)送相關(guān)源代碼,從已知信息判斷攻擊者可能是在學習后嘗試發(fā)起攻擊。但估計他也沒想到這次攻擊能涉及全國多個省市自治區(qū)的網(wǎng)絡(luò)訪問,而且此次攻擊已經(jīng)持續(xù)四個小時還沒有恢復(fù)。另外從這名攻擊者如此高調(diào)行事的風格來看也極有可能是初學者,畢竟此前嘗試大規(guī)模劫持的還在牢里沒出來呢。

被劫持的京東(圖片來自unixeno)

藍點網(wǎng)部分節(jié)點測試情況:

#?阿里云上海數(shù)據(jù)中心(BGP)?curl?-k?-v???*?Connected?to?z.github.io?(185.199.108.153)?port?443?(#0)?*?SSL?connection?using?TLSv1.2?/?ECDHE-ECDSA-AES128-GCM-SHA256?*?ALPN,?server?did?not?agree?to?a?protocol?*?Server?certificate:?*?subject:?C=CN;?ST=GD;?L=SZ;?O=COM;?OU=NSP;?CN=SERVER;?emailAddress=346608453@qq.com?*?start?date:?Sep?26?09:33:13?2019?GMT?*?expire?date:?Sep?23?09:33:13?2029?GMT?*?issuer:?C=CN;?ST=GD;?L=SZ;?O=COM;?OU=NSP;?CN=CA;?emailAddress=346608453@qq.com?*?SSL?certificate?verify?result:?self?signed?certificate?in?certificate?chain?(19),?continuing?anyway.?>?GET?/?HTTP/1.1?>?Host:?z.github.io?>?User-Agent:?curl/7.52.1?>?Accept:?*/*?#?群英網(wǎng)絡(luò)鎮(zhèn)江數(shù)據(jù)中心(電信)curl?-k?-v???*?About?to?connect()?to?z.github.io?port?443?(#0)?*?Trying?185.199.110.153...?*?Connected?to?z.github.io?(185.199.110.153)?port?443?(#0)?*?Initializing?NSS?with?certpath:?sql:/etc/pki/nSSDb?*?skipping?SSL?peer?certificate?verification?*?SSL?connection?using?TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256?*?Server?certificate:?*?subject:?E=346608453@qq.com,CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN?*?start?date:?Sep?26?09:33:13?2019?GMT?*?expire?date:?Sep?23?09:33:13?2029?GMT?*?common?name:?SERVER?*?issuer:?E=346608453@qq.com,CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN?>?GET?/?HTTP/1.1?>?User-Agent:?curl/7.29.0?>?Host:?z.github.io?>?Accept:?*/*?#?華為云香港數(shù)據(jù)中心(以下為正常連接的證書信息第41行)?curl?-k?-v???*?Rebuilt?URL?to:???*?Trying?185.199.108.153...?*?SSL?connection?using?TLSv1.2?/?ECDHE-RSA-AES128-GCM-SHA256?*?ALPN,?server?accepted?to?use?h2?*?Server?certificate:?*?subject:?C=US;?ST=California;?L=San?Francisco;?O=GitHub,?Inc.;?CN=??*?start?date:?Jun?27?00:00:00?2018?GMT?*?expire?date:?Jun?20?12:00:00?2020?GMT?*?issuer:?C=US;?O=DigiCert?Inc;?OU=www.digicert.com;?CN=DigiCert?SHA2?High?Assurance?Server?CA?*?SSL?certificate?verify?ok.?*?Using?HTTP2,?server?supports?multi-use?*?Connection?state?changed?(HTTP/2?confirmed)?*?Copying?HTTP/2?data?in?stream?buffer?to?connection?buffer?after?upgrade:?len=0?*?Using?Stream?ID:?1?(easy?handle?0x556d826f6ea0)?>?GET?/?HTTP/1.1?>?Host:?z.github.io?>?User-Agent:?curl/7.52.1?>?Accept:?*/*

0XU.CN