Categories
科技報導

有攻擊者正發動中間人攻擊 GitHub和京東受影響最大



據藍點網網友反饋,有攻擊者正在大規模的發起中間人攻擊劫持京東和 GitHub 等網站。此次攻擊很有可能是基於 DNS 系統或運營商層面發起的,目前受影響的主要是部分地區用戶但涉及所有運營商。例如中國移動、中國聯通、中國電信以及教育網均可複現劫持問題,而國外網絡訪問這些站點並未出現異常情況。

由於攻擊者使用的自簽名證書不被所有操作系統以及瀏覽器信任,因此用戶訪問這些網站時可能會出現安全警告。從目前攻擊情況來看此次發起攻擊的黑客很可能是初學者,而攻擊目的很有可能只是在測試但沒想到規模如此大。讀者可以點擊以下鏈接進行測試:https://z.github.io  https://koajs.com/

有攻擊者正發動中間人攻擊 GitHub和京東受影響最大 1

大量用戶無法正常訪問京東和GitHub:

從目前網上查詢的信息可以看到此次攻擊涉及最廣的是 GitHub.io,其次用戶訪問京東等國內知名網站亦會報錯。查看證書信息可以發現這些網站的證書被攻擊者使用的自簽名證書代替,導致瀏覽器無法信任從而阻止用戶訪問。自簽名證書顯示證書的製作者暱稱為心即山靈,這位心即山靈看起來就是此次攻擊的始作俑者。所幸目前全網絕大多數網站都已經開啟加密技術對抗劫持,因此用戶訪問會被阻止而不會被引導到釣魚網站上去。如果網站沒有採用加密安全鏈接的話可能會跳轉到攻擊者製作的釣魚網站,若輸入賬號密碼則可能會被直接盜取。

注 :此QQ號從此前某數據庫裡可檢索出使用者為某校高中生,不過尚不清楚是高中在校生還是已經從該校畢業。

71707-2.png

攻擊者可能是初學者正在進行測試:

從攻擊者自簽名證書留下的這個扣扣號可以在網上搜尋到部分信息,信息顯示此前這名攻擊者正在學習加密技術。這名攻擊者還曾在技術交流網站求助他人發送相關源代碼,從已知信息判斷攻擊者可能是在學習後嘗試發起攻擊。但估計他也沒想到這次攻擊能涉及全國多個省市自治區的網絡訪問,而且此次攻擊已經持續四個小時還沒有恢復。另外從這名攻擊者如此高調行事的風格來看也極有可能是初學者,畢竟此前嘗試大規模劫持的還在牢裡沒出來呢。

有攻擊者正發動中間人攻擊 GitHub和京東受影響最大 2

被劫持的京東(圖片來自unixeno)

藍點網部分節點測試情況:

# 阿里雲上海數據中心(BGP)
curl -k -v  
* Connected to z.github.io (185.199.108.153) port 443 (#0)
* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected]
* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected]
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: z.github.io
> User-Agent: curl/7.52.1
> Accept: */*
# 群英網絡鎮江數據中心(電信)curl -k -v  
* About to connect() to z.github.io port 443 (#0)
* Trying 185.199.110.153…
* Connected to z.github.io (185.199.110.153) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nSSDb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: [email protected],CN=SERVER,OU=NSP,O=COM,L=SZ,ST=GD,C=CN
* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* common name: SERVER
* issuer: [email protected],CN=CA,OU=NSP,O=COM,L=SZ,ST=GD,C=CN
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: z.github.io
> Accept: */*
# 華為雲香港數據中心(以下為正常連接的證書信息第41行)
curl -k -v  
* Rebuilt URL to:  
* Trying 185.199.108.153…
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
* subject: C=US; ST=California; L=San Francisco; O=GitHub, Inc.; CN= 
* start date: Jun 27 00:00:00 2018 GMT
* expire date: Jun 20 12:00:00 2020 GMT
* issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=DigiCert SHA2 High Assurance Server CA
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x556d826f6ea0)
> GET / HTTP/1.1
> Host: z.github.io
> User-Agent: curl/7.52.1
> Accept: */*