J'ai constaté que certains sites .gov sont redirigés vers une adresse IP chinoise. J'ai cherché sur Internet pour voir s'il s'agit d'une forme connue de malware mais je ne trouve aucune information. J'aimerais que quelqu'un me guide pour isoler les fichiers infectés et le signaler à AV, le cas échéant.
Il s'agit d'une résolution nslookup de l'ordinateur infecté:
C:\Users\Alex>nslookup www.whitehouse.gov
Servidor: google-public-dns-a.google.com
Address: 8.8.8.8
Respuesta no autoritativa:
Nombre: www.whitehouse.gov
Address: 139.129.57.70
Il s'agit d'une réponse valide d'un ordinateur Linux sur le même réseau:
alex@nas:~$ nslookup www.whitehouse.gov
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
www.whitehouse.gov canonical name = wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net canonical name = e4036.dscb.akamaiedge.net.
Name: e4036.dscb.akamaiedge.net
Address: 104.83.16.193
Comme vous pouvez le voir, quelque chose intervient dans les requêtes DNS et redirige vers 139.129.57.70, c'est une IP chinoise. Je pense que cet ordinateur est infecté par une sorte de malware conçu pour usurper l'identité de sites gouvernementaux et divulguer des informations.
Des indices sur les fichiers susceptibles d'être infectés?
Cela fait probablement partie d'un Content Delivery Network avec beaucoup de questions politiques à considérer.
Si tu essayes Dig www.whitehouse.gov a
, sous la section des réponses, vous verrez ce qui suit:
www.whitehouse.gov. 131 IN CNAME wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net. 731 IN CNAME e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net. 20 IN A 23.73.28.110
Voir les adresses CNAME? Essayez Host -t A www.whitehouse.gov
pour une meilleure explication:
www.whitehouse.gov is an alias for wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net is an alias for e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net has address 23.73.28.110
Avez-vous remarqué que j'obtiens une adresse IP différente de la vôtre? Noter la wildcard*Edge*
portion? Qu'est-ce que c'est? C'est un serveur Edge qui est supposé pour être le plus proche de vous.
Utilisez-vous un VPN sur votre machine Linux ou Windows? Peut-être celui qui est à Hong Kong, Hangzhou ou ailleurs en Asie de l'Est? Peut-être que votre routeur est configuré pour utiliser un VPN ou passer par TOR?
L'adresse IP que vous avez reçue appartient à Aliyun Computing Co. Ltd, qui fait partie de la suite Alibaba Cloud/CDN.
Encore une fois, utilisez-vous un VPN sur votre machine Linux ou Windows? Peut-être celui qui est à Hong Kong, Hangzhou ou ailleurs en Asie de l'Est? Peut-être que votre routeur est configuré pour utiliser un VPN ou passer par TOR?
Akamai fonctionne en Chine , mais ...
Vous voulez gagner de l'argent en Chine? Vous devez suivre les règles de Pékin. Je pense que nous venons de trouver quelque chose d'embarrassant pour Akamai: afin d'opérer en Chine, ils ont probablement été contraints de s'associer avec eux.
Pour faire des affaires en Chine, presque toutes les sociétés étrangères devaient auparavant céder le contrôle de leur propriété intellectuelle à un partenaire chinois commun pour être autorisées à opérer dans le pays.
Regardons l'adresse IP que vous nous avez donnée: whois 139.129.57.70 | grep -i 'ALi\|Hangzhou'
:
nom de réseau: ALISOFT descr: Aliyun Computing Co., LTD descr: No.391 Wen ' er Road, Hangzhou, Zhejiang, Chine , 310099 adresse: NO.969 West Wen Yi Road, Yu Hang District, Hangzhou E-mail: jiali.jl @ alibaba-inc.com Adresse: No.391 Wen'er Road, Hangzhou City E-mail: anti-spam @ list. alibaba-inc.com E-mail : cloud-cc-sqcloud @ list. alibaba-inc.com adresse: Hangzhou, Zhejiang, Chine adresse : No.391 Wen'er Road, Hangzhou City E-mail: guowei.pangw @ alibaba-inc.com
Dans ce cas, le partenaire Akamai est probablement Alibaba/Aliyun. Cela permet au gouvernement chinois, s'il le souhaite, de diffuser du contenu malveillant aux visiteurs via le CDN.
Chaque CDN est, à mon avis, MITM en tant que service.
Et si vous aviez avez un problème de détournement de DNS/MITM? Si vous souhaitez utiliser Wireshark, vous ne pouvez probablement pas faire de capture de paquets entre votre routeur et votre ordinateur sauf si le problème existe principalement sur votre machine Windows 10. Vous recevrez simplement tout ce que votre routeur vous fournira avec.
S'il n'y a aucun problème avec votre machine Windows 10, l'utilisation de Wireshark sur votre ordinateur ne vous fournira probablement aucune information significative. Et si votre routeur a été compromis?
Ce que vous pourriez faire, c'est mettre un commutateur avec des capacités de mise en miroir de ports entre votre passerelle et votre routeur, et utiliser le miroir de ports pour voir ce qui se passe. Ou une étoile qui lance un LAN. De cette façon, vous pouvez voir ce que votre routeur envoie et reçoit, et le comparer à ce que voit Wireshark.
Eh bien, j'ai installé Wireshark et appliqué un filtre DNS pour voir ce qui se passait. Lorsque je fais le nslookup de Windows vers whitehouse.gov, je peux voir dans Wireshark qu'il ajoute (sans me le montrer) mon suffixe DNS domestique (.casa).
Ensuite, j'ai essayé à partir de la machine Linux de résoudre n'importe quoi. Gov.casa et il a été résolu pour ladite IP chinoise.
Donc, je suis presque sûr que le problème ici est que Windows ajoute sombrement mon suffixe DNS domestique (.casa) aux domaines gov. Pourquoi il a commencé à faire cela, je ne sais pas, ce suffixe est configuré dans mon routeur RAF tomate depuis de nombreuses années, et ce comportement a commencé à se produire ces derniers jours. Il y a quelques jours, je suis entré sans problème dans jpl.nasa.gov pour voir quelques photos, donc ce changement est très récent.
Peut-être que le problème est dans le TLD .casa qui peut avoir été rendu public ces derniers jours, ou certains changements dans une mise à jour récente de Windows 10, mais certainement pas un problème lié à la sécurité.
Merci à tous pour vos conseils.
Je voudrais d'abord jeter un œil à la C:\Windows\System32\drivers\etc\hosts
fichier, si vous trouvez des listes pour certains .gov
domaines (ou autres, par défaut c'est vide) qui ne devraient pas être listés ici .. C'est pourquoi le DNS n'a pas fonctionné correctement.
Du fichier lui-même:
Ce fichier contient les mappages des adresses IP aux noms d'hôte
Mais je vous conseille également, comme Luc l'a dit, de réinstaller l'ordinateur, s'il y a un virus qui édite le fichier hosts (qui ne peut qu'avec les droits d'administrateur) cela pourrait faire bien pire.