1. DNS/乗取り/ribbon.to事件


DNS/ドメイン乗取り DNS/GhostDomainNames/KDDI /clnx2015

原因はribbon.to側でのゾーン設定(lame delegation)にあると判断した。

ひょっとして、Kaminsky型攻撃が成功したかと、期待したのだが。

興味のあるひとは読んでください。-- ToshinoriMaeno 2015-12-20 02:36:55

2. はじまり

twitterで「キャッシュポイズニング」を検索している。

今回のはちょっと気になった。(KDDIのキャッシュサーバは以前から注目していたので。)

https://twitter.com/sanada_kana/status/678107315615088641 15:59 - 2015年12月19日

当サークルが利用している無料レンタルサーバー: Ribbon Network のサーバーが数日前から不安定になっています。

実際にはおそらくCreation Date: 08-dec-2015 から問題が出ていたわけか

http://strange-x.com.ipaddress.com/

Creation Date
12/08/2015

12月10日にころから発生していたとの話: https://twitter.com/sanada_kana/status/678925008354193408

http://ribbon.to/topic.html

2015/12/17
14日頃よりKDDI様管轄のDNSにてribbon.toドメイン関連が広告サイトに誘導される事象が発生しております。
DNSキャッシュポイズニングの対策は行っておりますが、同脆弱性による問題と認識しておりますので、
現在対策を検討しております。誠に申し訳ございません。

cdns01.kddi.ne.jp (106.187.2.33)キャッシュサーバの持つribbon.to A レコードが195.22.126.213を指していたという。

/qmail.jp を問い合わせてみたときの返事から判断して、TTLは一週間に設定されているらしい。

12/13にもあったらしい。現在はGoogle cacheにだけ残っていたが。

無念 Name としあき 15/12/13(日)22:54:12 No.375585608 del + 01:49頃消えます

    としあきにちょっと質問したい
    http://ribbon.to/
    上記URLはあるレンタルサーバーのHPなのだがこのサイトおよび
    このサイトの無料サーバーを利用している他のHPを閲覧しようとすると
    広告サイトへ飛ばされてしまうのです
    ちなみに自分の使用している回線はau光です
    そして他の回線、たとえばドコモやYモバイル
    もしくはプロクシ等を使って接続すると普通に閲覧できます

    これはレンタルサーバー側に問題があるのでしょうか
    それともau光回線側に問題があるのでしょうか?

2015.12.14 Mon 20:23 に以下のサイトも広告表示されていたとのこと: http://tofukko.r.ribbon.to/abp.html

こういうことを言っていたひともいた。(関係者だった。責任転嫁かと思っていたら、それに近い話だった) https://twitter.com/verde2verde/status/677133877484236802

別のログもあったようで、Aレコードだけが汚染か。

http://195.22.126.213.ipaddress.com/ We found that the organization for IP address 195.22.126.213 is EuroNet s.c. Jacek Majak, Aleksandra Kuc in Poland.

3. なにが起きていたのか

ribbon.toゾーンサーバの情報が書き換えられた様子はないので、

  1. toゾーンサーバ(レジストラ)の情報が一時的に書き換えられたか、
    • どうやって。kddiキャッシュだけにニセ情報を入れられたか。
  2. cdn01.kddi.ne.jp キャッシュが(直接)書き換えられたか、
    • KDDIの管理者は攻撃を知らなかったのか。
  3. ribbon.to NSサーバのなにかを書き換えられたか。
    • ribbon.to ゾーンの設定にもいろいろ問題がある。(委譲もw)

これらの可能性を考える必要がある。

-- ToshinoriMaeno 2015-12-19 13:19:21

これは考えていなかった。 https://twitter.com/t0r0_twit/status/678439767910932480

/whois

https://twitter.com/bbbbbo_n/status/678245946833027072

KDDIの提供するキャッシュサーバ(複数台)が汚染されていたらしいので、

-- ToshinoriMaeno 2015-12-20 00:21:43

4. 結論

ribbon.to NS の参照さきに問題があった。watchNS/gochagocha.org

いわば、「毒薬を自分で飲んでしまった」状況だ。(いまも続いている)

ribbon.toのゾーン設定には多数の問題点があるので、DNS設定を勉強するひとは参考にしないこと。

-- ToshinoriMaeno 2015-12-20 02:42:56

2015-12-20 21:47:57 watchNS/ribbon.to/2 にあるように、to ccTLDへの登録情報が修正された。

ゾーン設定修正の連絡: https://twitter.com/verde2verde/status/678452923395739649?lang=ja

5. 終わっていなかった

https://twitter.com/sanada_kana/status/678626769188970496?lang=ja

KDDI回線からRibbon Networkのサーバーを利用したHPに接続すると広告サイトに誘導される現象が再び発生中  (TωT)

再発したというtweetを見て、「えっ」と思ったが。(想定しておくべきだったw)

ribbon.to のTTLに注目せよ。NSレコードのTTLは十分短い。(ように見えるが、...)

https://twitter.com/bbbbbo_n/status/678908179434967040

だが、ここのTTLであれば、大した時間はかからないはずだったが。

KDDIのキャッシュサーバにも問題がありそう。(TTLの扱い) -- ToshinoriMaeno 2015-12-22 00:33:42

dig chaos txt version.bind @xxx

6. 23日になっても

いまも広告サーバを返事するキャッシュサーバがある。

ここのAレコードTTLには注意が必要だ。でも、16日からならもう期限切れのはずだ。

to ccTLDへの登録が変更された20日を起点として、7日待ってから、再検討するか。-- ToshinoriMaeno 2015-12-23 09:08:24

https://twitter.com/sanada_kana/status/679711046383177728  2:11 - 2015年12月24日

7. 27日でも

https://twitter.com/bbbbbo_n/status/680774235384459264 CXKYjz3UAAAVuwm.png

https://twitter.com/bbbbbo_n/status/681139097243521024?lang=ja

ばびぶべぼん
@beyondDNS 本当ですね。レスポンスヘッダを見る限り、広告転送されていた時はhttpサーバはnginxでしたが、
Apacheになってますね。ポートスキャンの結果によると、
動いているサービスも以前からいくつか変更がありVNCやhttp proxyがオープンになってます。


参考: http://blog.virustotal.com/2013/04/virustotal-passive-dns-replication.html

8. KDDIサーバ

http://media3.kddi.com/extlib/files/business/support/download/pdf/open-resolver-v1.pdf

-- ToshinoriMaeno 2015-12-19 13:37:30

/KDDI