木馬竄改DNS設定 誘用戶上色情網站

| | | | | | 2則回應

    

上週傳出因DNS(網域名稱系統)設定錯誤，導致台灣區首頁遭轉址的微軟MSN事件才剛平息，趨勢科技又警告用戶注意一個會竄改電腦DNS伺服器設定的木馬程式家族TROJ_DNSCHANG，感染後電腦將會向惡意DNS伺服器發送需求，使用者便可能被導引到錯誤的網站，「使用者將會被導引向釣魚和色情網站，騙取個人資訊或網站流量，」趨勢科技技術顧問簡勝財說。

DNS為一將網域名稱與IP位置扣連的服務，由於IP位址為四組三位數字，不利使用者記憶，且IP位址未必永遠相同，因此一般電腦需要透過ISP業者或網域名稱維運機構設置的DNS伺服器，來取得與網域名稱扣連的IP位址，再藉由IP位址連上正確網頁。

簡勝財說，一般使用者多半不需要自行設定DNS伺服器，而是透過自動尋找功能使用ISP提供的DNS服務。但木馬在更動過電腦的DNS伺服器設定後，電腦將不再連向ISP的DNS，反而會向駭客維運的惡意DNS伺服器要資料，導致使用者上網時可能在網址正確的情況下，仍被導向惡意網頁。

簡勝財說，該木馬家族在今年初被發現後，至今已發現有115台惡意DNS伺服器在進行惡意轉址行為，並發展出數十隻不同變種，行為各自不同，與初發現時的單純轉址已不盡相同。

他舉例道，新發現的變種在一般情況下，都會正確處理使用者的連線需求，亦即導引到正確的網站，但若使用者鍵錯網址，例如把www.google.com中的www錯打成wwe，一般情況下因為網頁並不存在，瀏覽器應會顯示錯誤訊息，但惡意DNS伺服器卻會把這些打錯的網頁轉引到色情網站上。

此外，某些變種則不論有無打錯網址，只要使用者欲連向某些特定網址，都會被導引到設計好的釣魚網站，意圖騙取使用者的個人資料。

簡勝財表示，一般使用者多半無從判斷DNS是否正常，且綁架DNS伺服器也不易被察覺，他建議使用者一定要留意作業系統與資安軟體有無做好更新、避免感染類似惡意程式。至於企業用戶，他則建議採用閘道端URL過濾等產品以減低風險。

MSN遭轉址亦肇因DNS

而遭轉址的MSN台灣首頁，雖亦肇因於DNS問題，但卻是因未做好變更管理導致，與上述DNS木馬因資安漏動而鑽進使用者電腦不同。

專家表示，微軟MSN遭轉址事件反應出組態設定與變更管理的重要性，「即便是更改DNS這麼簡單的事，都可能產生龐大影響，」惠普軟體事業處資深顧問王秉慎說。

他表示，組態設定與變更管理的規範必須確實落實到企業的營運流程中，而且不可因為事件本身單純便加以輕忽，「即便是修改DNS，都得需要遵循流程規定，並有專責人士比對，以免憾事再次發生，」他說。

王秉慎亦建議企業在某些人為介入容易出錯的流程，採用自動化工具，減低因打錯字、操作失當等因素造成錯誤發生的可能性。

微軟線上服務副總經理林燕表示，DNS設定錯誤在事發當日(9/6)便已修復，但由於ISP業者DNS系統及快取並非即時更新，導致直到隔日(9/7)使用者的抱怨才停止。