La mia macchina Windows 10 sta subendo avvelenamento DNS? Continuo a ricevere indirizzi IP cinesi quando mi collego a un dominio governativo degli Stati Uniti

54

Ho scoperto che alcuni siti .gov vengono reindirizzati a un IP cinese. Ho cercato su Internet per vedere se si tratta di una forma conosciuta di malware, ma non sono in grado di trovare alcuna informazione. Vorrei che qualcuno mi guidasse per isolare i file infetti e riferire ad AV se applicabile.

Questa è una risoluzione nslookup dal computer infetto:

C:\Users\Alex>nslookup www.whitehouse.gov
Servidor:  google-public-dns-a.google.com
Address:  8.8.8.8

Respuesta no autoritativa:
Nombre:  www.whitehouse.gov
Address:  139.129.57.70

Questa è una risposta valida da un computer Linux nella stessa rete:

alex@nas:~$ nslookup www.whitehouse.gov
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
www.whitehouse.gov      canonical name = wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net     canonical name = e4036.dscb.akamaiedge.net.
Name:   e4036.dscb.akamaiedge.net
Address: 104.83.16.193

Come puoi vedere, qualcosa sta intervenendo sulle richieste DNS e il reindirizzamento a 139.129.57.70, che è un IP cinese. Penso che questo computer sia stato infettato da una sorta di malware creato per impersonare come siti di gov e informazioni sulle perdite.

Qualche indizio su quali file potrebbero essere infetti?

    
posta Alex 21.11.2017 - 14:12
fonte

3 risposte

76

Rete di consegna del contenuto

Questo probabilmente fa parte di una Content Delivery Network con un sacco di problemi politici da considerare.

Se provi dig www.whitehouse.gov a , sotto la sezione della risposta vedrai quanto segue:

www.whitehouse.gov. 131 IN  CNAME   wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net. 731 IN CNAME e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net. 20   IN  A   23.73.28.110

Vedi gli indirizzi CNAME? Prova host -t A www.whitehouse.gov per una spiegazione migliore:

www.whitehouse.gov is an alias for wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net is an alias for e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net has address 23.73.28.110

Ti accorgi che sto ricevendo un indirizzo IP diverso da te? Nota la porzione wildcard*edge* ? Cos'è quello? È un server periferico che è supposto più vicino a te.

Stai usando una VPN sul tuo computer Linux o su Windows Machine? Forse uno che è a Hong Kong, Hangzhou, o da qualche altra parte in Asia orientale? Forse il tuo router è configurato per utilizzare una VPN o passare attraverso TOR?

L'indirizzo IP che hai ricevuto appartiene ad Aliyun Computing Co. Ltd, che fa parte della suite Alibaba Cloud / CDN.

Ma aspetta, come abbiamo ottenuto un indirizzo IP Aliyun Cloud / CDN (Alibaba) da Akamai? Non sono loro concorrenti?

Ancora una volta, stai usando una VPN sul tuo computer Linux o su Windows Machine? Forse uno che è a Hong Kong, Hangzhou, o da qualche altra parte in Asia orientale? Forse il tuo router è configurato per utilizzare una VPN o passare attraverso TOR?

Akamai opera in Cina , ma ...

Vuoi fare soldi in Cina? Devi seguire le regole di Pechino. Penso che abbiamo appena trovato qualcosa di imbarazzante per Akamai: per operare in Cina, sono stati probabilmente costretti a collaborare con loro.

Per fare affari in Cina, quasi tutte le società straniere erano precedentemente obbligate a consegna il controllo della proprietà intellettuale a un partner cinese congiunto per poter operare nel paese.

Diamo un'occhiata all'IP che ci hai fornito: whois 139.129.57.70 | grep -i 'Ali\|Hangzhou' :

netname:        ALISOFT
descr:          Aliyun Computing Co., LTD
descr:          No.391 Wen'er Road, Hangzhou, Zhejiang, China, 310099
address:        NO.969 West Wen Yi Road, Yu Hang District, Hangzhou
e-mail:         jiali.jl@alibaba-inc.com
address:        No.391 Wen'er Road, Hangzhou City
e-mail:         anti-spam@list.alibaba-inc.com
e-mail:         cloud-cc-sqcloud@list.alibaba-inc.com
address:        Hangzhou, Zhejiang, China
address:        No.391 Wen'er Road, Hangzhou City
e-mail:         guowei.pangw@alibaba-inc.com

In questo caso, il partner Akamai è probabilmente Alibaba / Aliyun. Ciò consente al governo cinese, se lo desidera, di offrire contenuti dannosi ai visitatori tramite il CDN.

Ogni singolo CDN è, a mio parere, il MITM come servizio.

Wireshark? potresti sbagliare.

Che cosa succede se ha avuto un problema di dirottamento / MITM DNS di qualche tipo? Se si desidera utilizzare Wireshark, probabilmente non è possibile eseguire un'acquisizione di pacchetti tra il router e il computer a meno che il problema non si presenti principalmente sul computer Windows 10. Si riceverà semplicemente tutto ciò che il router fornisce.

Se non ci sono problemi con il tuo computer Windows 10, quindi l'utilizzo di Wireshark sul tuo computer probabilmente non ti fornirà alcuna informazione significativa. Cosa succede se il tuo router è stato compromesso?

Quello che potresti fare è mettere uno switch con funzionalità di mirroring delle porte tra il tuo gateway e il tuo router, e usare il port mirror per vedere cosa sta succedendo. O una lan che lancia stelle. In questo modo, puoi vedere cosa sta inviando e ricevendo il tuo router e confrontalo con ciò che vede Wireshark.

    
risposta data 21.11.2017 - 17:30
fonte
35

Bene, ho installato Wireshark e applicato un filtro DNS per vedere cosa stava succedendo. Quando faccio l'nslookup da Windows a whitehouse.gov posso vedere in Wireshark che viene aggiunto (senza mostrarmelo) il suffisso DNS di casa (.casa).

Poi ho provato dalla macchina Linux per risolvere qualsiasi cosa .gov.casa e ha risolto il suddetto IP cinese.

Quindi sono abbastanza sicuro che il problema qui è che Windows sta aggiungendo in modo oscuro il suffisso DNS di casa (.casa) ai domini gov. Perché ha iniziato a fare questo non lo so, questo suffisso è configurato nel mio router RAF di pomodoro da molti anni, e questo comportamento sta iniziando a succedere negli ultimi giorni. Alcuni giorni fa ho inserito senza problemi in jpl.nasa.gov per vedere alcune immagini, quindi questa modifica è molto recente.

Forse il problema è nel TLD .casa che potrebbe essere diventato pubblico negli ultimi giorni o in un aggiornamento recente di Windows 10, ma sicuramente non un problema di sicurezza.

Grazie a tutti per il consiglio.

    
risposta data 21.11.2017 - 15:34
fonte
2

Per prima cosa darei un'occhiata al file C:\Windows\System32\drivers\etc\hosts , se trovi elenchi per alcuni domini .gov (o altri, per default è vuoto) che non dovrebbero essere elencati qui .. Allora ecco perché il DNS non ha lavoro corretto.

Dal file stesso:

This file contains the mappings of IP addresses to host names

Ma ti consiglio anche, come ha detto Luc, di reinstallare il computer, se c'è un virus che modifica il file hosts (che è in grado solo con i diritti di amministratore) potrebbe fare cose molto peggiori.

    
risposta data 21.11.2017 - 14:40
fonte

Leggi altre domande sui tag