电脑管家 > 安全看点 > 史上最大规模“54DNS劫持”已得到有效遏制

史上最大规模“54DNS劫持”已得到有效遏制

2013-05-20 18:37 来源:腾讯电脑管家 作者:消息
【文章摘要】这场DNS劫持攻击的发现,源自于5月4日联合防御体系的“监测数据异常”,而率先发现此次攻击的正是联合防御体系成员单位114DNS。在短短48小时内,腾讯电脑管家安全团队成功追查到发

来自腾讯电脑管家的消息,被称为史上最大的规模的“54DNS劫持案”,经过中国互联网安全联合系统的共同努力,目前防御体系已完全建立,从而成功遏止了来自海外黑客集团预谋已久的DNS劫持攻击。

据了解,这场DNS劫持攻击的发现,源自于5月4日联合防御体系的“监测数据异常”,而率先发现此次攻击的正是联合防御体系成员单位114DNS。在短短48小时内,腾讯电脑管家安全团队成功追查到发动此次DNS劫持攻击的“元凶”,并第一时间将此次攻击情况通报给了TP-LINK等国内主流路由器厂商。

数据异常引发“预警体系”

DNS劫持攻击并不是一种新型的网络攻击手段,但却一直是全球互联网安全领域的棘手课题,这种被称为“高级黑”的攻击曾制造震惊全球的“巴西银行瘫痪”及“百度域名被劫持”事件,至今回想仍让人心有余悸。而在个人上网安全领域,利用宽带路由器缺陷劫持DNS而发动钓鱼欺诈攻击,仍是“黑客”吸金的惯用手段。

据114DNS平台负责人介绍,此次DNS劫持攻击的截获,得益于其与电信运营商、腾讯公司等厂商联合布局的“预警体系”。

5月4日,114DNS在电信运营商那关联的DNS异常监测系统中发现DNS钓鱼攻击,随即腾讯电脑管家安全团队对此进行了跟踪数据分析,判定其危害级别为“高级”,为一次非常严重的安全威胁,随即联合团队启动特别行动小组,并将此次攻击命名为“54DNS劫持”,一场与时间赛跑的攻防战役就此打响。

据了解,为应对不可预知的黑客攻击事件发生,114DNS很早便与电信运营商、腾讯公司建立了完备的数据共享及互通机制。此次发现新一轮DNS劫持攻击迹象,正是源于监测系统的数据异常,而联合应急团队的及时互通也为布局防御争取了宝贵时间。

攻势凶猛日感染800万用户

该负责人介绍,此次被发现的DNS劫持攻击要远比以往严重,黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面没有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。

(DNS的工作原理及DNS劫持钓鱼路径图)

来自腾讯电脑管家的安全团队同步启动了针对此次DNS劫持攻击的数据监测,显示已至少有4%的全网用户受到感染。腾讯电脑管家安全专家、高级技术总监李旭阳表示,以全网2亿用户进行估算,每天至少有800万用户处于DNS钓鱼攻击威胁中,黑客可以随时发动针对网民的钓鱼欺诈攻击。

除DNS关联IP被篡改为钓鱼欺诈网址外,此次DNS劫持攻击的另一个典型特性是劫持流量巨大的导航站,诸如hao360.cn、hao123.com均未能幸免。腾讯副总裁曾宇表示,这种针对导航站的DNS劫持,主要以骗取流量为目的,在此前并不多见;比如用户打开的是hao123.com网站,实际上黑客已经劫持跳转到另外一个虚假的导航站页面,通过这种手段骗取大量用户点击,最终通过流量变现。这是典型的商业犯罪行为,具有明显的商业目的性。

48小时技术追踪找到元凶

发现此次DNS劫持攻击的第一时间,114DNS联合腾讯电脑管家、腾讯安平平台的联合响应团队便立即启动了工作,并在48小时内追查到了发动此次DNS劫持攻击的“元凶”;这样的效应效率,在此前国内是绝对没有过的,即便在国外,也是领先的。

(腾讯电脑管家安全团队对DNS劫持攻击进行了追踪)

据李旭阳介绍,腾讯电脑管家安全团队、安平平台团队针对此次被篡改的DNS进行了追踪和比较全面的数据分析,发现其中被篡改的DNS指向IP来自于境外机房,黑客把攻击的阵地放在了美国电信机房。从目前掌握的情况判断,此次DNS劫持的背后是一个有预谋、有组织的黑客集团。

为什么来自美国机房?据李旭阳介绍,黑客跨境作案已经成为一个“行业惯例”,其目的是为了躲避技术追查,以及相应的法律制裁。据此前中国国家互联网应急中心(CNCERT)发布数据显示,中国遭受的网络攻击中近半数来自于境外。

率先防御布局阻击钓鱼攻击

“与黑客集团的攻防斗争是一场争分夺秒的竞技比赛,晚了一步都有可能造成极大的经济损失。”李旭阳介绍,为减少此次DNS劫持攻击对网民造成更大的经济损失,腾讯电脑管家安全团队在追查攻击来源同时,启动了与合作伙伴的联合防御布局。

5月6日中午,腾讯电脑管家联合114DNS针对此次攻击联合响应,腾讯电脑管家通过安全策略升级、在电脑管家新版本中合入防御单元,为网友提供拦截及防御修复工具。同时,114DNS为网友提供防御性DNS备案服务,第一时间已建议网友手动修改服务器设置为114.114.114.114,备用DNS服务器为8.8.8.8进行预防。

与此同时,腾讯电脑管家还第一时间将此次DNS劫持攻击的情况通报给了TP-LINK等国内主流路由器厂商,并第一时间联合路由器厂商进行了防御布局,腾讯电脑管家为路由器厂商提供了安全模块。在腾讯电脑管家推出解决方案的一周后,因旗下hao360.cn导航站被劫持的,国内另一家安全厂商360也跟进推出了DNS修复工具。

至此,在抵御危害更大的DNS劫持攻击领域,以腾讯电脑管家为首的联合安全团队打了一场漂亮的“攻防战役”,其中腾讯公司系统化的安全防御布局、以及安全产业链的互通合作,为此次攻防重要基础。

电脑管家V12.5

文档守护者,全面粉碎勒索病毒!

勒索病毒实时防御、主动拦截!

详情>>

版本更新:2017.5.13