Windows 10マシンでDNSポイズニングが発生していますか?米国政府のドメインに接続するときに中国のIPアドレスを取得し続ける
一部の.govサイトが中国のIPにリダイレクトされていることがわかりました。これを既知の形式のマルウェアかどうかを確認するためにインターネットを検索しましたが、情報を見つけることができません。感染したファイルを隔離し、該当する場合はAVに報告するように案内してほしい。
これは、感染したコンピュータからのnslookupの解決策です。
C:\Users\Alex>nslookup www.whitehouse.gov
Servidor: google-public-dns-a.google.com
Address: 8.8.8.8
Respuesta no autoritativa:
Nombre: www.whitehouse.gov
Address: 139.129.57.70
これは、同じネットワーク内のLinuxコンピューターからの有効な応答です。
alex@nas:~$ nslookup www.whitehouse.gov
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
www.whitehouse.gov canonical name = wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net canonical name = e4036.dscb.akamaiedge.net.
Name: e4036.dscb.akamaiedge.net
Address: 104.83.16.193
ご覧のように、何かがDNS要求に介入し、139.129.57.70にリダイレクトしています。これは中国のIPです。このコンピュータは、政府機関のサイトになりすまして情報を漏洩するように作られた何らかのマルウェアに感染していると思います。
どのファイルが感染しているのかについての手掛かりはありますか?
コンテンツ配信ネットワーク
これはおそらく コンテンツ配信ネットワーク の一部であり、考慮すべき多くの政治的問題があります。
Dig www.whitehouse.gov aを試すと、回答セクションの下に次のように表示されます。
www.whitehouse.gov. 131 IN CNAME wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net. 731 IN CNAME e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net. 20 IN A 23.73.28.110
CNAMEアドレスを確認しますか?より良い説明のためにHost -t A www.whitehouse.govを試してください:
www.whitehouse.gov is an alias for wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net is an alias for e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net has address 23.73.28.110
私があなたとは異なるIPアドレスを取得していることに気づきましたか? wildcard*Edge*の部分に注意してください。それは何ですか? あなたに最も近いと想定されているエッジサーバーです。
LinuxマシンまたはWindowsマシンでVPNを使用していますか?香港、杭州、または東アジアのどこかにあるのでしょうか?ルーターがVPNを使用するように構成されているか、TORを経由している可能性がありますか?
受け取ったIPアドレスは、Alibaba Cloud/CDNスイートの一部であるAliyun Computing Co. Ltdに属しています。
しかし、待って、AkamaiからどのようにしてAliyun Cloud/CDN(Alibaba)IPアドレスを取得しましたか?彼らは競争相手ではないのですか?
ここでも、LinuxマシンまたはWindowsマシンでVPNを使用していますか?香港、杭州、または東アジアのどこかにあるのでしょうか?ルーターがVPNを使用するように構成されているか、TORを経由している可能性がありますか?
アカマイは中国で事業を行っています 、しかし...
中国でお金を稼ぎたいですか?あなたは北京のルールに従わなければなりません。アカマイにとって恥ずかしいことを見つけたばかりだと思います。中国で事業を展開するために、彼らはおそらく彼らとのパートナーシップを強いられました。
中国でビジネスを行うために、ほとんどすべての外資系企業は以前に 共同の中国のパートナーに知的所有権の制御権を引き渡す を国での営業を許可する必要がありました。
ご提供いただいたIPを見てみましょう:whois 139.129.57.70 | grep -i 'ALi\|Hangzhou':
ネット名:ALISOFT descr:Aliyun Computing Co.、LTD descr: No.391 Wen ' er Road、杭州、浙江省、中国、310099 住所:NO.969 West Wen Yi Road、Yu Hang District、杭州 電子メール:jiali.jl @alibaba-inc.com アドレス:No.391 Wen'er Road、Hangzhou City 電子メール:anti-spam @ list。alibaba-inc.com 電子メール:cloud-cc-sqcloud @ list。alibaba-inc.com アドレス:杭州、浙江省、中国 アドレス:No.391 Wen'er Road、Hangzhou City e-mail:guowei.pangw @alibaba-inc.com
この場合、アカマイのパートナーはおそらくアリババ/アリユンです。これにより、中国政府は、必要に応じて、CDNを介して訪問者に悪意のあるコンテンツを提供することができます。
私の意見では、すべてのCDNはサービスとしてのMITMです。
Wireshark?あなたが間違っている可能性があります。
didが何らかのDNSハイジャック/ MITM問題を抱えている場合はどうなりますか? Wiresharkを使用する場合は、問題が主にWindows 10マシンに存在しない限り、ルーターとコンピューターの間でパケットキャプチャを行うことはできません。ルータはあなたを提供します。
Windows 10マシンに問題がない場合は、コンピューターでWiresharkを使用しても、意味のある情報が得られない可能性があります。ルーターが侵害された場合はどうなりますか?
あなたができることは、ゲートウェイとルーターの間にポートミラーリング機能を備えたスイッチを置き、ポートミラーを使用して何が起こっているかを確認することです。または、LANの手裏剣。このようにして、ルーターが送受信しているものを確認し、Wiresharkが確認しているものと比較できます。
さて、私はWiresharkをインストールし、DNSフィルターを適用して何が起こっているのかを確認しました。 Windowsからwhitehouse.govにnslookupを実行すると、WiresharkでホームDNSサフィックス(.casa)が(表示されずに)追加されていることがわかります。
次に、Linuxマシンからanything。gov.casaを解決してみましたが、それは上記の中国語IPに解決されました。
したがって、ここでの問題は、WindowsがホームDNSサフィックス(.casa)をgovドメインにシャドウして追加していることだと確信しています。なぜこれが始まったのかはわかりませんが、このサフィックスは何年も前からトマトのRAFルーターで構成されており、この動作は最後の数日で起こり始めています。数日前、私は問題なくjpl.nasa.govにいくつかの写真を見るために入力したので、この変更はごく最近のものです。
たぶん問題は、過去数日間に公開された可能性のある.casa TLDにあるか、Windows 10の最近の更新に何らかの変更があったが、セキュリティ関連の問題ではない。
アドバイスありがとうございます。
まず、C:\Windows\System32\drivers\etc\hostsファイル、一部のリストが見つかった場合.govドメイン(またはその他、デフォルトでは空)。ここにリストされるべきではありません。それがDNSが適切に機能しなかった理由です。
ファイル自体から:
このファイルには、IPアドレスとホスト名のマッピングが含まれています
しかし、Lucが言ったように、コンピューターを再インストールすることもお勧めします。hostsファイルを編集するウイルス(管理者権限でのみ可能)があると、事態はさらに悪化する可能性があります。