ARP 缓存污染和IFRAME嵌入攻击

最近收到了一位IT行业朋友的来信，说他遇到了这么一个现象，百思不得其解。

<<<

我昨天遇到了一个非常郁闷的问题，我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒，下面是中毒的日志：

Scan type:Auto-Protect Scan

Event:Security Risk Found!

Threat: Trojan.Exploit.131

File:C:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5\...\ad2[1].c

Location:Unknown Storage

Action taken:Clean failed : Quarantine failed : Access denied

并且更奇怪的是只要开启IE在源代码里面就能在第一行看到如下一行代码：

<iframe src=http:<malicious URL> width=100 height=0 frameborder=0></iframe>

但是并没有弹出网页，后来过了几个小时整个部门的这个现象就自动消失了，开IE也不会中毒了，上面的那行代码也不再显示了，首先要声明那个部门没有做过任何操作。

>>>

这种现象背后的原因，就是ARP缓存污染（cache poison）加上IFrame 嵌入（Injection）的攻击。ARP cache poison这种攻击理论上提出了很久了，但是直到最近才开始比较多的被病毒程序所应用。

http://www.grc.com/nat/arp.htm是一篇非常好的介绍ARP缓存污染的文章。

简单的说，就是如果你的局域网中的一台机器被感染上病毒（例如通过一个IE的安全漏洞等等），病毒程序可以以这台机器（A），在局域网内部发起ARP cache poison的攻击，来把这台机器作为中间人插入到其它的机器(假设为B)和网关中。（典型的man-in-the-middle攻击）。然后，机器B的所有的http网络访问，都可以被A截获并插入IFRAME信息，以试图感染机器B。在这里，攻击者试图通过iframe让IE访问一个恶意站点。这个站点往往会利用微软最近的安全漏洞，如ANI安全漏洞等等。如果B的系统没有及时安装最新的安全补丁的话，就会被感染。

当A发现攻击无效，或A上的病毒被删除了的话，在机器B上你看到的这些奇怪的现象就会消失了。

如果存有网络活动记录，查看网络中的ARP的数据包，就可以确定是从那台机器发起的攻击。

我的微软的一个同事Neil Carpenter也有一篇不错的文章讨论这个问题。http://blogs.technet.com/neilcar/archive/2007/06/28/arp-cache-poisoning-incident.aspx