圖1:域名系統(tǒng)(DNS)的工作原理
用戶(hù):那么DNSChanger是如何進(jìn)行攻擊的呢?
賽門(mén)鐵克安全響應(yīng)中心:通過(guò)改變一臺(tái)電腦的DNS設(shè)置��,惡意軟件的作者們能夠控制某臺(tái)電腦與互聯(lián)網(wǎng)上的哪些網(wǎng)站相聯(lián)接�����,能夠迫使某臺(tái)受影響的電腦去 聯(lián)接一個(gè)“欺詐網(wǎng)站”�,或者把該電腦從一個(gè)本想去訪(fǎng)問(wèn)的網(wǎng)站引開(kāi)。為了做到這一點(diǎn)�����,惡意軟件作者需要用惡意代碼去感染電腦,在該案例中�,這種惡意代碼就是 DNSChanger。一旦某臺(tái)電腦了感染這種惡意代碼����,惡意軟件便會(huì)將DNS設(shè)置從ISP的合法DNS服務(wù)器地址修改成“流氓DNS服務(wù)器地址”。
圖2: DNSChanger的工作原理
用戶(hù):賽門(mén)鐵克能保護(hù)我們不受這一威脅的影響么?
賽門(mén)鐵克安全響應(yīng)中心:是的��,賽門(mén)鐵克檢測(cè)出這一威脅為T(mén)rojan.Flush.K���,它最初名叫Trojan.Dnschanger����。而且�,我們的追蹤監(jiān)測(cè)從2007年1月開(kāi)始就進(jìn)行了。
用戶(hù):這也許是個(gè)愚蠢的問(wèn)題��,但我想知道為什么這些攻擊者想將我引導(dǎo)到惡意服務(wù)器上?
賽門(mén)鐵克安全響應(yīng)中心:實(shí)際上這是一個(gè)很好的問(wèn)題���,但其答案卻很簡(jiǎn)單:利益驅(qū)使����。Kevin Haley寫(xiě)了一篇關(guān)于網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)以及他們是怎樣進(jìn)行這種犯罪的博文,http://www.symantec.com/connect/blogs/dnschanger-fraud-ring-busted����。
用戶(hù):這一惡意軟件和這種網(wǎng)絡(luò)犯罪有多長(zhǎng)時(shí)間了?事實(shí)上���,Kevin Haley說(shuō)���,那些惡意攻擊者在去年年底就被FBI抓住了!
賽門(mén)鐵克安全響應(yīng)中心:是的,沒(méi)錯(cuò)����。實(shí)際上FBI有一篇關(guān)于Operation Ghost Click的好文章,是關(guān)于如何抓獲這一犯罪團(tuán)伙的調(diào)查工作的�����,值得一讀�����。
用戶(hù):那么為什么現(xiàn)在他們還這么猖獗?
賽門(mén)鐵克安全響應(yīng)中心:我很高興您問(wèn)這個(gè)問(wèn)題���。FBI曾通過(guò)法庭命令要求“互聯(lián)網(wǎng)系統(tǒng)聯(lián)盟”(ISC)部署和維持安全的DNS服務(wù)器�����,來(lái)代替由惡意 攻擊者運(yùn)行的“流氓DNS服務(wù)器”�,以便給使用被感染電腦的用戶(hù)留出足夠的時(shí)間來(lái)清除該威脅。然而���,這只是一個(gè)臨時(shí)性解決方案����,由ISC依照法庭命令運(yùn)行 的服務(wù)器將在2012年7月9日被關(guān)閉�。一旦這種情況發(fā)生,仍然被感染的電腦將失去互聯(lián)網(wǎng)連接��,可能引起大面積的“斷網(wǎng)”�����。
用戶(hù):那么����,被這種威脅所感染的電腦是不能訪(fǎng)問(wèn)某些網(wǎng)站,還是所有網(wǎng)站呢?
賽門(mén)鐵克安全響應(yīng)中心:不����,是不能訪(fǎng)問(wèn)所有網(wǎng)站���。將失去互聯(lián)網(wǎng)連接。如果您的電腦在7月9日仍然在使用指向FBI服務(wù)器的DNS條目�����,那么您將徹底不能訪(fǎng)問(wèn)互聯(lián)網(wǎng):不能從家里連接辦公室����,不能更新Facebook內(nèi)容��,在DNS設(shè)置修復(fù)之前什么都不能做�。
用戶(hù):我怎樣才能弄清我的電腦是否被DNSChanger感染?
賽門(mén)鐵克安全響應(yīng)中心:一個(gè)名叫“DNSChanger 工作組(DCWG)”的特別行動(dòng)小組已經(jīng)成立,來(lái)幫助人們確定他們的電腦是否已被這一威脅感染����,同時(shí)也幫助他們清除該威脅。用戶(hù)可訪(fǎng)問(wèn)由DCWG維護(hù)的 DNS Changer Check-Up頁(yè)面���,以確定其電腦是否被感染��。也有由DCWG的Detect 頁(yè)面上所列的其他機(jī)構(gòu)所維護(hù)的采用各種不同語(yǔ)言的其他頁(yè)面�。各種不同機(jī)構(gòu)也在主動(dòng)告知用戶(hù)他們的電腦是否被DNSChanger感染�。
除了檢測(cè)惡意代碼外�����,被DNSChanger感染的賽門(mén)鐵克和諾頓客戶(hù)�,還可以通過(guò)我們配有的一個(gè)被稱(chēng)為SecurityRisk.FlushDNS的檢測(cè)系統(tǒng)的終端產(chǎn)品進(jìn)行檢測(cè)�。
用戶(hù):為什么賽門(mén)鐵克的產(chǎn)品不能自動(dòng)為用戶(hù)修復(fù)DNS設(shè)置?
賽門(mén)鐵克安全響應(yīng)中心:賽門(mén)鐵克的產(chǎn)品不能恢復(fù)某臺(tái)被感染電腦上的DNS設(shè)置,是因?yàn)槲覀儫o(wú)法知道其原始設(shè)置是什么���。
用戶(hù):賽門(mén)鐵克還有什么措施可以避免我們受到類(lèi)似威脅呢?
賽門(mén)鐵克安全響應(yīng)中心:我們有自己的DNS服務(wù)器���,通過(guò)相應(yīng)的配置他們可以阻攔不安全的網(wǎng)站。這種產(chǎn)品被稱(chēng)為Norton ConnectSafe��,相當(dāng)不錯(cuò)�����,而且完全免費(fèi)��。
