关于3月26日晚Github出现大规模网络劫持情况的复现及分析

作者: zdx         消息类型: 公司新闻         发布日期:2020-04-02

易胜博客户端赛博空间非攻研究院第一时间对本次骨干网中间人攻击的攻击过程进行分析,发现此次事件主要有3个特点:

1、攻击涉及三大运营商网络以及教育网网络,攻击影响面非常广;

2、攻击发生时HTTPS、HTTP和ICMP流量TTL值不同,攻击只针对HTTPS流量;

3、攻击者利用中间设备使用自签名证书进行SSL中间人劫持。


易胜博客户端-易胜博客户端下载-易胜博存款研究人员分析,攻击涉及三大运营商网络以及教育网网络,网络攻击点可能处于运营商骨干网核心位置;攻击发生时HTTPS、HTTP和ICMP流量TTL值不同,分析现网可能针对HTTPS协议使用了BGP Flow Specification/PBR等高级路由策略。根据运营商实际网络部署情况,攻击极有可能发生在骨干网流量处理设备,通过BGP Flow Specification/PBR等路由策略将HTTPS流量引流到特殊流量处理设备,但该设备可能被黑客恶意攻击并控制,进而被执行了HTTPS中间人劫持攻击。


易胜博客户端赛博空间非攻研究院结合自有的易胜博客户端电信网络靶场环境和电信网络技术,复现出可能的攻击场景:


1、通过虚拟化技术仿真路由器,并在骨干网中配置BGP  Flow  Specification等路由策略将HTTPS 443端口数据报文单独引流到中间设备;

(1)在路由器上配置BGP  Flow  Specification路由策略:


可以看出,针对TCP目的端口为443的数据报文通过BGP  Flow  Specification路由策略设置下一跳路由为173.1.1.2。

(2)分别使用ICMP、HTTP、HTTPS报文ping百度(www.baidu.com),并查看对应TTL值:


可以看出,ICMP和HTTP报文的TTL是49,而HTTPS报文的TTL是48,即HTTPS 443端口数据报文被单独引流到中间路由器R2。

2、通过虚拟化技术仿真中间设备,利用SSL证书伪造、中间人劫持等攻击技术,在中间设备对HTTPS流量使用自签名证书进行中间人攻击,劫持用户流量。

(1)攻击者伪造SSL自签名证书,并通过中间人攻击劫持HTTPS流量:





可以看出,攻击者在中间设备使用SSL自签名证书成功劫持HTTPS流量,而HTTP流量不受影响。

以上是易胜博客户端赛博空间非攻研究院对此次安全事件的可能性原因分析,并在自有的易胜博客户端电信网络靶场环境进行了复现,欢迎安全爱好者一起交流研讨。 

易胜博客户端仿真靶场平台通过数字孪生技术高度仿真虚拟环境与真实设备相结合,模拟仿真真实网络攻防的多种场景,涵盖传统网络仿真靶场、工业自动化安全仿真靶场、电信仿真靶场、电力仿真靶场、IOT仿真靶场、卫星遥感网络仿真靶场等。可提供大规模场景自定义、业务仿真、攻防对抗监控和态势分析等。

其中易胜博客户端电信网络靶场通过虚拟环境与真实设备相结合,能够模拟仿真真实电信网络攻防作战的多种场景,可提供大规模电信网络仿真分析、电信网络对抗监控和电信网络攻防态势分析,覆盖电信网络多拓扑场景下的攻击渗透、比武竞赛、实操演练。易胜博客户端电信网络靶场整合研发六大子系统,流量子系统、控制中心子系统、电信业务子系统、无线网子系统、IPRAN子系统、IPMAN子系统,建立业界真实、丰富、全面的电信网络靶场环境。为客户提供无线网络、有线网络安全实训超过30+场景。


“易胜博客户端赛博空间非攻研究院”为易胜博客户端-易胜博客户端下载-易胜博存款旗下技术创新、安全研究的重要部门,部门拥有一支能力突出、技术过硬、业务精通、勇于创新的技术队伍,当前主要专注于应用安全、攻防渗透、工业互联网安全、物联网安全、电信安全和人工智能安全等方向。


服务热线
025-8660 3700

微信公众号