Websense reports China Netcom DNS cache poisoning

Websense에서 중국 Netcom의 DNS cache poisoning을 알렸다.
Posted by Ryan Naraine @ 12:43 pm

중국의 가장 큰 ISP중 하나의 DNS 서버가 exploit을 배포하는 악성 사이트로 리다이렉트 시키는 형태로 감염되었다.

Websense security lab의 경고에 따르면, DNS poisoning 공격은 중국 Netcom(CNC)사용자들에게 영향을 끼치고 있으며, RealNetworks의 RealPlayer와 Adobe Flash Player, Microsoft Snapshot viewer의 알려진 취약점을 이용하여 exploit을 실행시키는 악성 iframe을 이용하고 있다.

사용자가 domain name을 잘못 입력했을 때, 때때로 그들의 ISP에 의해서 광고들이 들어가져 있는 특정 웹 사이트로 연결된다. 이것이 전형적인 IPS를 위한 추가적인 수입의 원천이다. CNC의 경우에는, 이 유명한 ISP의 고객들이 공격자 수중에 있는 웹 사이트로 연결된다.

Websense는 잠재적으로 잘못 입력될 수 있는 URL의 nlsookup 화면을 제공했다. 첫번째 것은 영향이 없는 Name server를 보여주며, 반면 두번째 것은 감염된 Name server를 보여준다.

정상적인 Name server :

감염된 Name server :

정상적인 DNS 서버에 쿼리를 날린 사용자는 안전한 사이트로 연결이 되긴 하지만, 만일 감염된 DNS 서버로 쿼리를 날린다면, 브라우저는 악의적인 iFrame 코드가 삽입된 공격자의 사이트로 리다이렉트 시키게 된다.

원문 :
Websense reports China Netcom DNS cache poisoning by ZDNet's Ryan Naraine -- The DNS server of one of China’s largest ISPs has been poisoned to redirect typos to a malicious site rigged with drive-by exploits. According to a warning from Websense Security Labs, the DNS poisoning attacks are affecting customers of China Netcom (CNC) and are using a malicious iFrame to launch exploits for known vulnerabilities in RealNetworks’ [...]

Carly's additional comment :
요즘 중국에 베이징 올림픽 때문에 외신 기자들이 엄청나게 많을 것이고,
그 사람들 분명 호텔에서 CNC 혹은 CT 네트워크를 쓰고 있을 텐데
잘못하면 많은 외국인들 노트북에 중국산 백도어 심기고, Zombie가 되어 
전 세계로 흩어질 수도 있겠다는 생각과 더불어..
중국, 진짜 무섭다는 생각이 다시 한번 들었다.

출처 : http://blogs.zdnet.com/security/?p=1776