流量劫持应急响应

admin 2021年10月27日09:48:37评论189 views字数 6136阅读20分27秒阅读模式


STATEMENT

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。



NO.1 DNS劫持

DNS查询工作原理

1、客户端发起DNS查询,首先查询本机host文件,若不存在,则请求到达DNS服务器,DNS服务器检查自身缓存,若存在则返回,若不存在则查询请求到递归解析器;

2、这时DNS服务器向根域名服务器请求查询,返回定级域名的权威域名服务器地址;

3、查询请求转向相应的顶级域的权威与服务器,得到二级域的权威域服务地址;

4、递归解析器向二级域的权威域服务器发起请求,得到A记录,即IP地址;

5、递归解析器返回结果给DNS服务器;

6、DNS服务器将结果存入自身缓存并且返回到客户端;

7、客户端得到结果并成功访问;


DNS劫持是指攻击域名解析服务器,或伪造域名解析服务器的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址的目的。

判断方式

当切换DNS设置或者切换运营商网络之后,访问恢复正常。

排查方法

1、排查hosts文件

C:WindowsSystem32driversetc  #windows/etc/hosts   #Linux

2、排查本地网卡DNS配置

windows下:网络连接->以太网->详细信息Linux:/etc/resolv.conf
1、首先使用nslookup查询该域名的查询结果
C:Usersowen>nslookup默认服务器:  pdns.das-security.cnAddress:  10.20.120.150
> www.baidu.com服务器:  pdns.das-security.cnAddress:  10.20.120.150
非权威应答:名称:    www.a.shifen.comAddresses:  220.181.38.149          220.181.38.150Aliases:  www.baidu.com

2、指定google或电信的DNS服务器查询
> server 8.8.8.8默认服务器:  dns.googleAddress:  8.8.8.8
> www.baidu.com服务器:  dns.googleAddress:  8.8.8.8
非权威应答:名称:    www.wshifen.comAddresses:  104.193.88.77          104.193.88.123Aliases:  www.baidu.com          www.a.shifen.com


> server 114.114.114.114默认服务器:  public1.114dns.comAddress:  114.114.114.114
> www.baidu.com服务器:  public1.114dns.comAddress:  114.114.114.114
非权威应答:名称:    www.a.shifen.comAddresses:  14.215.177.39          14.215.177.38Aliases:  www.baidu.com

防御方法

1、锁定hosts文件不允许修改;

2、配置本地DNS为自动获取或者将其设置为可信DNS服务器;

3、路由器采用强密码策略;

4、及时更新路由器固件;

5、使用加密协议进行DNS查询。



NO.2 HTTP劫持

常规HTTP劫持中,攻击者一般会通过入侵服务器,在网站源码中植入恶意代码。当用户正常访问源服务器时,被篡改的网站源码会跳转到指定的恶意网站。

劫持手法与排查思路

01、客户端js劫持

在网页中插入js脚本,通过js进行url跳转,一般情况下,会通过js混淆加密来增加识别难度。如下:通过js劫持从搜索引擎中来的流量。

<script>var s=document.referrer; if(s.indexOf("baidu")>0||s.indexOf("soso")>0||s.indexOf("google")>0||s.indexOf("yahoo")>0||s.indexOf("sogou")>0||s.indexOf("youdao")>0||s.indexOf("bing")>0){self.location='http://www.xxxx.com'; }</script>

排查思路:查看网页源代码或者抓包分析http流量,找到源代码中插入的js代码,删除js代码后恢复。

流量劫持应急响应

02、服务端代码劫持

网站源码被篡改,在首页或配置文件中引入恶意代码。如下:通过判断User-agent与Referer,进行快照劫持。

<?phperror_reporting(0);//判断是否为百度蜘蛛,然后进行内容劫持if(stripos($_SERVER["HTTP_USER_AGENT"],"baidu")>-1){$file = file_get_contents('http://www.baidu.com');echo $file;exit;}//判断是否来自百度搜索,然后进行url跳转if(stristr ($_SERVER['HTTP_REFERER'],"baidu.com")) {Header("Location: http://www.baidu.com/");//指定跳转exit; }?>

排查思路:查看网站首页引入了哪些文件,依次访问相关的文件源码,确认可疑的代码,去除包含文件后恢复。备份网站源码及文件完整性验证非常重要,可以帮助我们在上万行的代码中快速找到恶意代码。

流量劫持应急响应

03、nginx反向代理劫持

以前遇到过一个网站做了网页防篡改,无法通过修改网站源码劫持,攻击者通过修改nginx的配置文件,通过正则匹配url链接,配置proxy_pass代理转发实现url劫持。

location ~ /[0-9a-z]+sc {    proxy_pass  https://www.xxxx.com/;}

排查思路:总结url劫持规律,中间件配置文件也是需要关注的位置。

04、利用301重定向劫持

通过HTTP重定向实现301劫持,可以检查网站根目录下的配置文件web.config,确认是否有相关设置。

<httpRedirect enabled="true" destination="http://xxxx.com/1.php" childOnly="true" httpResponseStatus="Permanent" />

05、IIS恶意模块劫持

这种手法相对比较隐蔽,网站目录中查不到webshell和挂马页面,但使用特定的路径、Referer或者UA访问,页面会加载暗链。

流量劫持应急响应

排查思路:排查加载的异常dll文件,如没有签名、创建时间不匹配需重点关注。可使用火绒剑或Process Monitor协助排查。



NO.3 TCP链路劫持

TCP劫持事件多为抢先回包劫持会话。如果发生劫持使用抓包工具捕获浏览器访问的链路层流量,可发现浏览器产生的单个请求,同时会受到2个不同的TCO响应报文。因为伪造的第一个数据包先到,因此正常的TCP响应数据包被忽略了。


大部分的劫持被用于篡改HTTP响应内容,投放的内容多为游戏、色情、赌博等领域广告。攻击者一般通过旁路设备监听链路流量,实现劫持。也有的会利用攻击设备,在链路内捕获用户的正常访问流量,记录用户敏感信息,从而进行广告推广、电信诈骗。

链路劫持判断依据

TTL:表现为TCP 报的 TTL 不一致甚至抖动很大。一种情况是跟正常包的ttl相差明显;另一种情况是通过ttl来判断操作系统类型,进而间接判断数据包是否有异常。


Identification:出现不符合 RFC 标准的情况。对于给定地址和协议的ip包来说,它的identification应该是公差为1的单调递增数列。每一个IP封包都有一个16位的唯一识别码。当程序产生的数据要通过网络传送时都会被拆散成封包形式发送,当封包要进行重组的时候这个ID就是依据了。标识字段唯一地标识主机发送的每一份数据报。通常每发送一份消息它的值就会加1。


Banner信息:response中的header头比对


虽然TTL从字面上翻译,是可以存活的时间,但实际上TTL是IP数据包在计算机网络中可以转发的最大跳数。TTL字段由IP数据包的发送者设置,在IP数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改这个TTL字段值,具体的做法是把该TTL的值减1,然后再将IP包转发出去。如果在IP包到达目的IP之前,TTL减少为0,路由器将会丢弃收到的TTL=0的IP包并向IP包的发送者发送 ICMP time exceeded消息。

防御方法

使用HTTPS

参考链接

https://www.cnblogs.com/croso/p/5285177.html

https://blog.csdn.net/qq_23936389/article/details/115301156




RECRUITMENT

招聘启事

安恒雷神众测SRC运营(实习生)
————————
【职责描述】
1.  负责SRC的微博、微信公众号等线上新媒体的运营工作,保持用户活跃度,提高站点访问量;
2.  负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作,促进审核人员与白帽子之间友好协作沟通;
3.  参与策划、组织和落实针对白帽子的线下活动,如沙龙、发布会、技术交流论坛等;
4.  积极参与雷神众测的品牌推广工作,协助技术人员输出优质的技术文章;
5.  积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】 
 1.  责任心强,性格活泼,具备良好的人际交往能力;
 2.  对网络安全感兴趣,对行业有基本了解;
 3.  良好的文案写作能力和活动组织协调能力。


简历投递至 

[email protected]

设计师(实习生)

————————

【职位描述】
负责设计公司日常宣传图片、软文等与设计相关工作,负责产品品牌设计。

【职位要求】
1、从事平面设计相关工作1年以上,熟悉印刷工艺;具有敏锐的观察力及审美能力,及优异的创意设计能力;有 VI 设计、广告设计、画册设计等专长;
2、有良好的美术功底,审美能力和创意,色彩感强;

3、精通photoshop/illustrator/coreldrew/等设计制作软件;
4、有品牌传播、产品设计或新媒体视觉工作经历;

【关于岗位的其他信息】
企业名称:杭州安恒信息技术股份有限公司
办公地点:杭州市滨江区安恒大厦19楼
学历要求:本科及以上
工作年限:1年及以上,条件优秀者可放宽


简历投递至 

[email protected]

安全招聘

————————

公司:安恒信息
岗位:Web安全 安全研究员
部门:战略支援部
薪资:13-30K
工作年限:1年+
工作地点:杭州(总部)、广州、成都、上海、北京

工作环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…

【岗位职责】
1.定期面向部门、全公司技术分享;
2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;
3.负责完成部门渗透测试、红蓝对抗业务;
4.负责自动化平台建设
5.负责针对常见WAF产品规则进行测试并落地bypass方案

【岗位要求】
1.至少1年安全领域工作经验;
2.熟悉HTTP协议相关技术
3.拥有大型产品、CMS、厂商漏洞挖掘案例;
4.熟练掌握php、java、asp.net代码审计基础(一种或多种)
5.精通Web Fuzz模糊测试漏洞挖掘技术
6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法
7.有过独立分析漏洞的经验,熟悉各种Web调试技巧
8.熟悉常见编程语言中的至少一种(Asp.net、Python、php、java)

【加分项】
1.具备良好的英语文档阅读能力;
2.曾参加过技术沙龙担任嘉宾进行技术分享;
3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;
4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者;
5.开发过安全相关的开源项目;
6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先;
7.个人技术博客;
8.在优质社区投稿过文章;


岗位:安全红队武器自动化工程师
薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。

【岗位要求】
1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言;
2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案;
3:熟悉域安全以及内网横向渗透、常见web等漏洞原理;
4.对安全技术有浓厚的兴趣及热情,有主观研究和学习的动力;
5.具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。


简历投递至

[email protected]

岗位:红队武器化Golang开发工程师

薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。

【岗位要求】
1.掌握C/C++/Java/Go/Python/JavaScript等至少一门语言作为主要开发语言;
2.熟练使用Gin、Beego、Echo等常用web开发框架、熟悉MySQL、Redis、MongoDB等主流数据库结构的设计,有独立部署调优经验;
3.了解docker,能进行简单的项目部署;
3.熟悉常见web漏洞原理,并能写出对应的利用工具;
4.熟悉TCP/IP协议的基本运作原理;
5.对安全技术与开发技术有浓厚的兴趣及热情,有主观研究和学习的动力,具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式、消息队列等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。

简历投递至

[email protected]



END

流量劫持应急响应
流量劫持应急响应
流量劫持应急响应

长按识别二维码关注我们


本文始发于微信公众号(雷神众测):流量劫持应急响应

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月27日09:48:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   流量劫持应急响应http://cn-sec.com/archives/395548.html

发表评论

匿名网友 填写信息