查看: 5236|回复: 7
收起左侧

[转帖] DNS劫持-网上那些乱七八糟的广告怎么来的

[复制链接]
流水寒丶
头像被屏蔽
发表于 2017-3-6 00:10:07 | 显示全部楼层 |阅读模式
DNS 劫持(域名劫持)对网络犯罪分子而言是一个有吸引力的攻击形式。这类攻击的受害者
基本上不知道他们的系统受到了攻击,对于安全提供商来说要想准确识别攻击本身也是相当麻烦。

为什么色情广告漫天飞?
DNS(域名系统)劫持攻击粗略分为两个类别 - 要么您的计算机的DNS设置被篡改(由一个恶意软件或PUA,潜在不需要的应用程序),或您的家庭路由器的设置被攻击者篡改(这意味着,在大多数情况下,所有连接到路由器的设备接收指向恶意DNS服务器)。
黑客攻击路由器的方式有两种。一是通过猜测设备管理界面的登录密码(这是很常见的,因为很多人不改变他们的默认路由器设置),而是通过路由器的软件上的漏洞。一旦DNS设置被篡改后,攻击者可以执行各种恶意动作。例如,DNS劫持的受害者被指向到他们网上银行的木马版本,从而犯罪分子窃取密码账户或劫持网上交易过程。受害者或被指向到专门为窃取登录凭据而设计的木马社交媒体网站,这些凭证可以被用来收集个人信息或身份窃取。


最后,流氓DNS服务器可以篡改出现在受害者访问的合法网站上的广告。这些广告的范围可以从一个更多主动(弹出式广告,背后广告等),显示用户没有期望的内容(色情网站,壮阳广告等),甚至欺骗用户做他们不应该的东西(弹出窗口声称你的机器被感染,提示你到一个可以“修复”问题网站)。

现实很复杂-芬氏观察家
通过查看后端系统中的数据,F-Secure专家约98%的客户群使用自己互联网服务提供商的DNS服务器。在剩余的2%中,一半正在使用已知的公共DNS服务器(如Google DNS),另一半使用“非官方”开放DNS服务器。

根据我们的分析,最后1%的客户使用的许多开放DNS服务器是合法开放的DNS服务器。我们估计只有10%- 20%的用户被指向流氓DNS服务器。这个让我们估计大约0.1% - 0.2%的客户群受到DNS劫持攻击的影响。其中绝大多数来自Windows恶意软件/ PUA活动,而不是路由器劫持。

参与DNS劫持的犯罪分子
似乎是一撮聪明人。喜欢闷声发“稳”财甚于一竿子快钱。来自DNSUnlocker和Looksafe的DNS劫持活动的“业务营业额”占据了我们见到的域名劫持的最大市场份额。如上所述,识别真正恶意的DNS服务器往往很难。虽然我们可以查询通常重定向到受损网站可疑DNS服务器的地址,并检查解析哪些IP地址,在很多情况下,这类查询无法产生确凿的证据。一些合法的DNS服务器,如广告拦截商使用的那些,可能是正常的,但看起来像流氓DNS服务器。其他已知的正常服务器可能已被攻击者感染。情况很复杂。DNS劫持背后的黑客可能知道这一不确定因素并利用它。



横财就手

所以,我们看到的大多数流氓DNS服务器被用于广告劫持。如何运作?回到我们上面的解释,受害者设备中DNS设置重定向一个受损的DNS服务器,比如,它为google-analytics.com网站解析替代性的IP地址。受影响的网站然后注入JavaScript到浏览器预期的回复,这将导致以下情况-并非由Google策划的替代性或原本不存在的广告出现在受害者的浏览器中。当这些广告显示在受害者浏览的网页上时,黑客可以从中获取提成。


如果你认真想想,它是有道理的。若黑客直接从DNS劫持的受害者银行帐户偷钱,或利用受害人的社交媒体帐户发送恶意软件给其他的联系人,他们很快就会发现问题并解决问题。
攻击者为入侵他们的设备投资的时间可能会获得短期回报,但就会提供稳定收入流的设备会马上减少一个。

相比之下,广告劫持为犯罪分子提供稳定的现金流,由于受害者很难注意到什么异常,他们继续得到广告提成并且不被发现。

到了最后我们发现,参与DNS 劫持的犯罪分子似乎足够聪明,宁愿闷声获取“稳定”收入,而非赚一竿子快钱。
Fcatty
发表于 2017-3-11 11:12:07 来自手机 | 显示全部楼层
我想问问右下角写着谷歌提供的广告是因为什么 我的电脑里ie  egde会出现 火狐则没有  火狐安装了adb edge没有安装  特地重做过系统  也会出现这种情况   是dns的原因吗
julia跺跺
发表于 2017-3-11 11:16:44 | 显示全部楼层
Fcatty 发表于 2017-3-11 11:12
我想问问右下角写着谷歌提供的广告是因为什么 我的电脑里ie  egde会出现 火狐则没有  火狐安装了adb edge没 ...


确保系统干净,更换dns,之后还是复现,考虑运营商劫持。
nonote
头像被屏蔽
发表于 2017-3-11 11:55:51 来自手机 | 显示全部楼层
一般都是HTTP劫持,或者是缓存服务器什么的,运营商那边制定DNS服务器,用户这边不论怎么修改DNS都没用。
nonote
头像被屏蔽
发表于 2017-3-11 11:56:20 来自手机 | 显示全部楼层
一般都是HTTP劫持,或者是缓存服务器什么的,运营商那边制定DNS服务器,用户这边不论怎么修改DNS都没用。
Fcatty
发表于 2017-3-11 12:52:17 | 显示全部楼层
julia跺跺 发表于 2017-3-11 11:16
确保系统干净,更换dns,之后还是复现,考虑运营商劫持。

那应该是运营商了  MSN下的系统  换过谷歌的DNS 还是出
WLZLCX
头像被屏蔽
发表于 2017-3-11 13:18:02 | 显示全部楼层
运营商HTTP劫持,去工信部投诉
julia跺跺
发表于 2017-3-11 13:23:12 | 显示全部楼层
Fcatty 发表于 2017-3-11 12:52
那应该是运营商了  MSN下的系统  换过谷歌的DNS 还是出

打电话投诉他们
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 01:00 , Processed in 0.136457 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表