¿Mi máquina con Windows 10 está experimentando envenenamiento de DNS? Sigo obteniendo direcciones IP chinas cuando me conecto a un dominio del gobierno de EE. UU.

Question

¿Mi máquina con Windows 10 está experimentando envenenamiento de DNS? Sigo obteniendo direcciones IP chinas cuando me conecto a un dominio del gobierno de EE. UU.

#1 de Mark Buffalo (76 votos)
#2 de Alex (35 votos)
#3 de Simon (2 votos)

54

Descubrí que algunos sitios .gov están siendo redirigidos a una IP china. He buscado en Internet para ver si esta es una forma conocida de malware pero no puedo encontrar ninguna información. Me gustaría que alguien me guíe para aislar los archivos infectados e informar a AV si corresponde.

Esta es una resolución nslookup de la computadora infectada:

C:\Users\Alex>nslookup www.whitehouse.gov
Servidor:  google-public-dns-a.google.com
Address:  8.8.8.8

Respuesta no autoritativa:
Nombre:  www.whitehouse.gov
Address:  139.129.57.70

Esta es una respuesta válida de una computadora Linux en la misma red:

alex@nas:~$ nslookup www.whitehouse.gov
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
www.whitehouse.gov      canonical name = wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net     canonical name = e4036.dscb.akamaiedge.net.
Name:   e4036.dscb.akamaiedge.net
Address: 104.83.16.193

Como puede ver, algo interviene en las solicitudes de DNS y se redirige a 139.129.57.70, que es una IP china. Creo que esta computadora está infectada por algún tipo de malware creado para hacerse pasar por sitios de gobierno e información de fugas.

¿Alguna pista sobre qué archivos pueden estar infectados?

dns

pregunta Alex 21.11.2017 - 14:12

fuente

3 respuestas

Lea otras preguntas en las etiquetas dns

¿Por qué los navegadores tienen como valor predeterminado http: y no https: para las URL escritas? [duplicar] ¿Puede un ataque DDoS proporcionar información?

score 76 · Answer 1

Red de entrega de contenido

Esto probablemente sea parte de una Red de entrega de contenido con muchos temas políticos que considerar.

Si prueba dig www.whitehouse.gov a , debajo de la sección de respuestas verá lo siguiente:

www.whitehouse.gov. 131 IN  CNAME   wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net. 731 IN CNAME e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net. 20   IN  A   23.73.28.110

¿Ver las direcciones CNAME? Pruebe host -t A www.whitehouse.gov para obtener una mejor explicación:

www.whitehouse.gov is an alias for wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net is an alias for e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net has address 23.73.28.110

¿Te das cuenta de que obtengo una dirección IP diferente a la tuya? Tenga en cuenta la porción wildcard*edge* ? ¿Que es eso? Es un servidor perimetral que se supone que es el más cercano a ti.

¿Está utilizando una VPN en su máquina con Linux o en la máquina con Windows? Tal vez uno que está en Hong Kong, Hangzhou, o en algún otro lugar en el este de Asia? Tal vez su enrutador esté configurado para usar una VPN, o pasar por TOR?

La dirección IP que recibió pertenece a Aliyun Computing Co. Ltd, que forma parte de la suite Alibaba Cloud / CDN.

Pero espere, ¿cómo obtuvimos una dirección IP Aliyun Cloud / CDN (Alibaba) de Akamai? ¿No son competidores?

De nuevo, ¿estás usando una VPN en tu máquina con Linux o en la máquina con Windows? Tal vez uno que está en Hong Kong, Hangzhou, o en algún otro lugar en el este de Asia? Tal vez su enrutador esté configurado para usar una VPN, o pasar por TOR?

Akamai opera en China , pero ...

¿Quieres ganar dinero en China? Tienes que seguir las reglas de Beijing. Creo que acabamos de encontrar algo embarazoso para Akamai: para poder operar en China, probablemente se vieron obligados a asociarse con ellos.

Para hacer negocios en China, casi todas las empresas extranjeras tenían que < cede el control de su propiedad intelectual a un socio chino conjunto para que se le permita operar en el país.

Veamos la IP que nos dio: whois 139.129.57.70 | grep -i 'Ali\|Hangzhou' :

netname:        ALISOFT
descr:          Aliyun Computing Co., LTD
descr:          No.391 Wen'er Road, Hangzhou, Zhejiang, China, 310099
address:        NO.969 West Wen Yi Road, Yu Hang District, Hangzhou
e-mail:         jiali.jl@alibaba-inc.com
address:        No.391 Wen'er Road, Hangzhou City
e-mail:         anti-spam@list.alibaba-inc.com
e-mail:         cloud-cc-sqcloud@list.alibaba-inc.com
address:        Hangzhou, Zhejiang, China
address:        No.391 Wen'er Road, Hangzhou City
e-mail:         guowei.pangw@alibaba-inc.com

En este caso, el socio de Akamai es probablemente Alibaba / Aliyun. Esto permite al gobierno chino, si así lo desean, brindar contenido malicioso a los visitantes a través de la CDN.

Cada CDN es, en mi opinión, MITM como un servicio.

Wireshark? podría estar haciendo mal.

¿Qué sucede si usted tuvo algún tipo de secuestro de DNS / MITM? Si desea usar Wireshark, probablemente no pueda hacer una captura de paquetes entre su enrutador y la computadora a menos que el problema exista principalmente en su máquina con Windows 10. Simplemente estaría recibiendo lo que sea que su enrutador le proporcione.

Si no hay ningún problema con su máquina con Windows 10, entonces el uso de Wireshark en su computadora probablemente no le proporcionará ninguna información significativa. ¿Qué pasa si su enrutador ha sido comprometido?

Lo que podría hacer es poner un interruptor con capacidades de duplicación de puertos entre su puerta de enlace y su enrutador, y usar el espejo de puertos para ver qué está pasando. O una estrella lanzadora de LAN. De esta manera, puede ver lo que su enrutador está enviando y recibiendo, y compararlo con lo que ve Wireshark.

score 35 · Answer 2

Bueno, instalé Wireshark y apliqué un filtro de DNS para ver qué sucedía. Cuando hago el nslookup de Windows a whitehouse.gov, puedo ver en Wireshark que está agregando (sin mostrarlo) el sufijo DNS de mi casa (.casa).

Luego intenté desde la máquina de Linux resolver cualquier cosa .gov.casa y se resolvió a dicha IP china.

Entonces, estoy bastante seguro de que el problema aquí es que Windows está agregando sombríamente el sufijo DNS de mi casa (.casa) a los dominios de gobierno. No sé por qué comenzó a hacer esto, este sufijo está configurado en mi enrutador RAF de tomate desde hace muchos años y este comportamiento comenzó a ocurrir en los últimos días. Hace algunos días ingresé sin problemas en jpl.nasa.gov para ver algunas fotos, por lo que este cambio es muy reciente.

Tal vez el problema esté en el TLD .casa que puede haberse hecho público en los últimos días, o algún cambio en una actualización reciente de Windows 10, pero definitivamente no es un problema relacionado con la seguridad.

Gracias a todos por el consejo.

score 2 · Answer 3

Primero echaría un vistazo al archivo C:\Windows\System32\drivers\etc\hosts , si encuentra listados para algunos dominios .gov (u otros, por defecto está vacío) que no deberían aparecer aquí. Entonces, es por eso que el DNS no lo hizo. trabajo adecuado.

Desde el propio archivo:

Este archivo contiene las asignaciones de direcciones IP a nombres de hosts

Pero también te aconsejo, como dijo Luc, reinstalar la computadora, si hay un virus que edita el archivo de hosts (que solo es capaz con derechos de administrador) podría hacer cosas mucho peores.