有攻擊者正發(fā)動(dòng)中間人攻擊 GitHub和京東受影響最大

安全 2020-03-27 01:39

聲明：該文章由作者（ksbugs）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

據(jù)藍(lán)點(diǎn)網(wǎng)網(wǎng)友反饋,有攻擊者正在大規(guī)模的發(fā)起中間人攻擊劫持京東和 GitHub 等網(wǎng)站。此次攻擊很有可能是基于 DNS 系統(tǒng)或運(yùn)營(yíng)商層面發(fā)起的,目前受影響的主要是部分地區(qū)用戶但涉及所有運(yùn)營(yíng)商。例如中國(guó)移動(dòng)、中國(guó)聯(lián)通、中國(guó)電信以及教育網(wǎng)均可復(fù)現(xiàn)劫持問(wèn)題,而國(guó)外網(wǎng)絡(luò)訪問(wèn)這些站點(diǎn)并未出現(xiàn)異常情況。

由于攻擊者使用的自簽名證書(shū)不被所有操作系統(tǒng)以及瀏覽器信任,因此用戶訪問(wèn)這些網(wǎng)站時(shí)可能會(huì)出現(xiàn)安全警告。從目前攻擊情況來(lái)看此次發(fā)起攻擊的黑客很可能是初學(xué)者,而攻擊目的很有可能只是在測(cè)試但沒(méi)想到規(guī)模如此大。讀者可以點(diǎn)擊以下鏈接進(jìn)行測(cè)試:https://z.github.io??https://koajs.com/

大量用戶無(wú)法正常訪問(wèn)京東和GitHub:

從目前網(wǎng)上查詢的信息可以看到此次攻擊涉及最廣的是 GitHub.io,其次用戶訪問(wèn)京東等國(guó)內(nèi)知名網(wǎng)站亦會(huì)報(bào)錯(cuò)。查看證書(shū)信息可以發(fā)現(xiàn)這些網(wǎng)站的證書(shū)被攻擊者使用的自簽名證書(shū)代替,導(dǎo)致瀏覽器無(wú)法信任從而阻止用戶訪問(wèn)。自簽名證書(shū)顯示證書(shū)的制作者昵稱(chēng)為心即山靈,這位心即山靈看起來(lái)就是此次攻擊的始作俑者。所幸目前全網(wǎng)絕大多數(shù)網(wǎng)站都已經(jīng)開(kāi)啟加密技術(shù)對(duì)抗劫持,因此用戶訪問(wèn)會(huì)被阻止而不會(huì)被引導(dǎo)到釣魚(yú)網(wǎng)站上去。如果網(wǎng)站沒(méi)有采用加密安全鏈接的話可能會(huì)跳轉(zhuǎn)到攻擊者制作的釣魚(yú)網(wǎng)站,若輸入賬號(hào)密碼則可能會(huì)被直接盜取。

注 :此QQ號(hào)從此前某數(shù)據(jù)庫(kù)里可檢索出使用者為某校高中生,不過(guò)尚不清楚是高中在校生還是已經(jīng)從該校畢業(yè)。

攻擊者可能是初學(xué)者正在進(jìn)行測(cè)試:

從攻擊者自簽名證書(shū)留下的這個(gè)扣扣號(hào)可以在網(wǎng)上搜尋到部分信息,信息顯示此前這名攻擊者正在學(xué)習(xí)加密技術(shù)。這名攻擊者還曾在技術(shù)交流網(wǎng)站求助他人發(fā)送相關(guān)源代碼,從已知信息判斷攻擊者可能是在學(xué)習(xí)后嘗試發(fā)起攻擊。但估計(jì)他也沒(méi)想到這次攻擊能涉及全國(guó)多個(gè)省市自治區(qū)的網(wǎng)絡(luò)訪問(wèn),而且此次攻擊已經(jīng)持續(xù)四個(gè)小時(shí)還沒(méi)有恢復(fù)。另外從這名攻擊者如此高調(diào)行事的風(fēng)格來(lái)看也極有可能是初學(xué)者,畢竟此前嘗試大規(guī)模劫持的還在牢里沒(méi)出來(lái)呢。

被劫持的京東(圖片來(lái)自u(píng)nixeno)

藍(lán)點(diǎn)網(wǎng)部分節(jié)點(diǎn)測(cè)試情況:

#?阿里云上海數(shù)據(jù)中心(BGP)?curl?-k?-v???*?Connected?to?z.github.io?(185.199.108.153)?port?443?(#0)?*?SSL?connection?using?TLSv1.2?/?ECDHE-ECDSA-AES128-GCM-SHA256?*?ALPN,?server?did?not?agree?to?a?protocol?*?Server?certificate:?*?subject:?C=CN;?ST=GD;?L=SZ;?O=COM;?OU=NSP;?CN=SERVER;?emailAddress=346608453@qq.com?*?start?date:?Sep?26?09:33:13?2019?GMT?*?expire?date:?Sep?23?09:33:13?2029?GMT?*?issuer:?C=CN;?ST=GD;?L=SZ;?O=COM;?OU=NSP;?CN=CA;?emailAddress=346608453@qq.com?*?SSL?certificate?verify?result:?self?signed?certificate?in?certificate?chain?(19),?continuing?anyway.?>?GET?/?HTTP/1.1?>?Host:?z.github.io?>?User-Agent:?curl/7.52.1?>?Accept:?*/*?#?群英網(wǎng)絡(luò)鎮(zhèn)江數(shù)據(jù)中心(電信)curl?-k?-v???*?About?to?connect()?to?z.github.io?port?443?(#0)?*?Trying?185.199.110.153...?*?Connected?to?z.github.io?(185.199.110.153)?port?443?(#0)?*?Initializing?NSS?with?certpath:?sql:/etc/pki/nSSDb?*?skipping?SSL?peer?certificate?verification?*?SSL?connection?using?TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256?*?Server?certificate:?*?subject:?E=346608453@qq.com,CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN?*?start?date:?Sep?26?09:33:13?2019?GMT?*?expire?date:?Sep?23?09:33:13?2029?GMT?*?common?name:?SERVER?*?issuer:?E=346608453@qq.com,CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN?>?GET?/?HTTP/1.1?>?User-Agent:?curl/7.29.0?>?Host:?z.github.io?>?Accept:?*/*?#?華為云香港數(shù)據(jù)中心(以下為正常連接的證書(shū)信息第41行)?curl?-k?-v???*?Rebuilt?URL?to:???*?Trying?185.199.108.153...?*?SSL?connection?using?TLSv1.2?/?ECDHE-RSA-AES128-GCM-SHA256?*?ALPN,?server?accepted?to?use?h2?*?Server?certificate:?*?subject:?C=US;?ST=California;?L=San?Francisco;?O=GitHub,?Inc.;?CN=??*?start?date:?Jun?27?00:00:00?2018?GMT?*?expire?date:?Jun?20?12:00:00?2020?GMT?*?issuer:?C=US;?O=DigiCert?Inc;?OU=www.digicert.com;?CN=DigiCert?SHA2?High?Assurance?Server?CA?*?SSL?certificate?verify?ok.?*?Using?HTTP2,?server?supports?multi-use?*?Connection?state?changed?(HTTP/2?confirmed)?*?Copying?HTTP/2?data?in?stream?buffer?to?connection?buffer?after?upgrade:?len=0?*?Using?Stream?ID:?1?(easy?handle?0x556d826f6ea0)?>?GET?/?HTTP/1.1?>?Host:?z.github.io?>?User-Agent:?curl/7.52.1?>?Accept:?*/*

關(guān)注我們