Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
hhacker · 2020-04-12 17:22:16 +08:00 · 15939 次点击这是一个创建于 2028 天前的主题,其中的信息可能已经有所发展或是发生改变。
每过 1 分钟的样子,Chrome 就会发送一个 DNS 请求,同时请求:
Chrome 版本号为 81.0.4044.92 Chrome 的这个操作是正常的吗?仔细检查了一下电脑,应该是没有中流氓软件 /病毒的。
第 1 条附言 · 2020-04-12 19:08:36 +08:00
尝试把 chrome.exe 改成 cc.exe 再运行,就没有那些请求了,是外部有什么程序在监控 chrome.exe 进程吗?
查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
第 2 条附言 · 2020-04-13 12:33:15 +08:00
给大佬们汇报下蜜罐情况
1. 本机 www.2345.com host 指向 127.0.0.1
2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
3. access_log /home/wwwlogs/honeypot.log
手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。
巨大的疑问号
1. 本机 www.2345.com host 指向 127.0.0.1
2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
3. access_log /home/wwwlogs/honeypot.log
手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。
巨大的疑问号
第 3 条附言 · 2020-04-13 15:21:43 +08:00
已确认中招了,但这个流氓具体藏在哪里还没找到,现在又发现了以下几点:
1. 打开 ie 或 edge 也会触发
2. firefox 不会触发
3. firefox.exe 改名成 chrome.exe 运行会触发
1. 打开 ie 或 edge 也会触发
2. firefox 不会触发
3. firefox.exe 改名成 chrome.exe 运行会触发
第 4 条附言 · 2020-04-13 15:31:14 +08:00
把 firefox.exe 改成
MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
第 5 条附言 · 2020-04-13 15:33:19 +08:00
这些 dns 请求无视本机的 hosts,目前的情况看是针对 chrome 、ie 、和 edge 进行了监控
第 6 条附言 · 2020-04-13 16:00:59 +08:00
安全模式无法复现,正常启动可复现
第 7 条附言 · 2020-04-13 16:35:17 +08:00
用 Process Monitor 看所有的进程都是合法签名过的,没有可疑注入。
干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
第 8 条附言 · 2020-04-13 17:06:32 +08:00
补充一个复现的条件:
改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
超纲了超纲了,今天就这样了,有思路了再搞
改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
超纲了超纲了,今天就这样了,有思路了再搞
第 9 条附言 · 2020-04-13 18:55:32 +08:00
最新进展:
autoruns 把非微软家的服务 /启动项全关了
重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
autoruns 把非微软家的服务 /启动项全关了
重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
第 10 条附言 · 2020-04-14 01:01:16 +08:00
系统是 thinkpad t480s 原装的 win10 家庭版,开箱附带了一些联想的软件。
没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
 |
1
hhacker OP  奇怪 为什么图床不显示 |
 |
2
eason1874 2020-04-12 17:28:13 +08:00
应该是书签里有这些网址吧? Chrome 会先解析好这些域名,提升访问体验,至于 1 分钟解析一次,应该是这些域名解析记录 TTL 只有 1 分钟。
|
 |
3
ClericPy 2020-04-12 17:34:46 +08:00  1
一般是正常的... 考虑用 incognito 模式启动再看看? 有书签的时候好像就老请求
我最服的一点是, 没完没了的请求 favicon.ico... 各个网站都默认请求一次, 默认还 Cache-Control: no-cache...... |
 |
5
clague 2020-04-12 17:42:34 +08:00 via Android
chrome 会自动加载你可能访问的页面提高加载速度,会不会是这个原因。
|
|
7
hhacker OP 有没有得闲的,做一下 dns sniff 看能复现不?
|
 |
8
xuroid 2020-04-12 17:45:41 +08:00
这是用什么工具看的,我看看我的有没有
|
 |
9
kyoro 2020-04-12 17:49:53 +08:00
下一个 [Adware Removal Tool by TSA] 扫扫,之前自动跳转 hao123 等就是用这个修好的
|
|
10
xuroid 2020-04-12 18:00:31 +08:00
@xuroid 用 DNSQuerySniffer 工具查看了下,除了打开新网页时有相应网页的 DNS 解析,别的就只有微软的 DNS 解析。其中 windowsupdate 大概 2 分钟请求一次。我书签有 200 多个。
|
 |
12
mengyx 2020-04-12 18:30:28 +08:00
可能是你的 新标签页的最常访问 里面有这些网站
|
 |
13
Lentin 2020-04-12 18:30:42 +08:00
是不是装了什么扩展插件?
|
|
17
hhacker OP | 2020/4/12 18:33:27 127.0.0.1 : www.2345.com. | A
|- CacheContains : www.2345.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.baidu.com. | A |- CacheContains : www.baidu.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.hao123.com. | A |- CacheContains : www.hao123.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.sogou.com. | A |- CacheContains : www.sogou.com. | Count : 62 奇怪的是用 fiddler 看不到相关的 https/http 请求,如果是被流氓软件刷量的话 应该是可以看到请求的吧 还是现在流氓软件隐藏得太好了? |
|
18
hhacker OP @mengyx 我用 fiddler 看过了 没有请求,用 wireshark 也没过滤出个有用的包,只能看到 DNS 的请求
|
 |
19
cquyf 2020-04-12 20:50:19 +08:00
暂时没遇到过
|
 |
20
syuraking 2020-04-12 21:11:08 +08:00
检查 WMI 事件
|
 |
21
tenwx 2020-04-12 21:13:18 +08:00
我之前遇到过楼主一样的问题,后来发现原因是安装过 99 宿舍软件,那玩意儿会劫持 winsock,netsh winsock show catalog 可以看到流氓软件的 dll 文件,netsh winsock reset 后解决
|
 |
22
muzuiget 2020-04-12 21:15:06 +08:00
楼主怎么判断这些 DNS 是 Chrome 发出的?
|
|
23
hhacker OP @muzuiget 不知道是哪里发出的,只能判断和 chrome 有关,因为关掉就没那些请求了
|
 |
24
dot2017 2020-04-12 22:37:44 +08:00
有试过把 chrome 扩展都关了么
|
|
27
dot2017 2020-04-12 22:46:34 +08:00
单从发送请求的域名来看,感觉是对方想拦截这些域名去刷 referrer,类似于那种广告联盟的行为。
你可以试一下在隐身模式手动打开其中的一个网站,看打开后地址栏 URL 后面有没有加奇怪的后缀,比如?xxxx 另外你是通过快捷方式启动 chrome 的么,看看快捷方式的地址后面是不是加了启动参数 |
|
28
hhacker OP @dot2017 没有启动参数的,是否在隐身模式也不影响这个 dns 请求重现,不需要访问网站它也会自动请求,只要 chrome.exe 进程在
|
|
29
hhacker OP 明天做个蜜罐,拦一下这几个网站的访问看看,如果是刷量请求的话这也隐藏得太好了,hold 住连接,应该就能看到打开的端口
|
 |
30
wclebb 2020-04-12 23:44:03 +08:00
最烦的就是这样,因为这样我才把系统重装了。在公司的时候,那时候好像是因为弹广告、网页劫持,唯一怀疑只有自己装看图王( 2345 出品)。
那时候强迫症,查了半天找不出来哪里发起。360 也没用(?) 后来就是重装系统了,再后来我也不用看图王,从此以后安静多了。 |
 |
31
HEROic 2020-04-13 00:26:58 +08:00 via Android
硬核查问题~ 大佬 np
|
 |
32
elfive 2020-04-13 06:19:52 +08:00 via iPhone
试试用火绒查一下病毒。
|
 |
34
yulihao 2020-04-13 08:08:10 +08:00
楼主直接 chrome://version 看看启动命令行,与快捷方式的对比,确认是 chrome 问题还是 LoadProcess 函数被劫持
|
|
35
hhacker OP @yulihao
命令行 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox 未见异常 |
 |
36
2joe 2020-04-13 09:01:17 +08:00 via iPhone
硬核,等待后续结果
|
 |
37
lincolnhuang 2020-04-13 09:12:44 +08:00
前排围观
|
 |
38
doveyoung 2020-04-13 09:43:26 +08:00
这种问题一般不好查,先 netsh winsock reset 简单粗暴,如果不能解决再慢慢查……emmmmm
|
 |
39
1462326016 2020-04-13 09:52:49 +08:00
有没有可能是搜狗的 dll 注入到了 Chrome,我记得输入法打开了就会注入到对应进程去。可以尝试卸载搜狗输入法尝试下还有没有。
|
 |
40
Les1ie 2020-04-13 10:08:48 +08:00
试试火绒剑?猜测可能是有第三方的程序在检测 chrome 的进程是否存在
1.选择系统,设定过滤,路径过滤,输入 chrome, 2. 找不是 chrome 发起的,但是指向了 chrome 的文件夹的动作 日志比较长可以到处日志,在文本编辑器里面分析。 另外可以看看本机有没有奇怪的启动项,不正常的网络连接 https://i.loli.net/2020/04/13/YP3JcV9EfxFouTq.png https://i.loli.net/2020/04/13/MiOga9xJhdwP4pr.png |
|
42
hhacker OP @1462326016 未安装搜狗输入法
@Les1ie 火绒剑和 procmon 都分析过 dns 请求前后的日志 未见异常(如果不是隐藏得太好,那就是没有后续操作,但是单一请求个 dns 有啥用捏) @yulihao 已经火绒剑看过了 |
 |
44
realpg PRO 装个 360 扫一遍 狗头
|
 |
45
Cursor1st 2020-04-13 11:26:18 +08:00
试试,备份插件和书签后,清空 chrome 。甚至重装 chrome 试试?
先排除其本身的原因。 |
 |
46
U7Q5tLAex2FI0o0g 2020-04-13 11:28:38 +08:00
好奇,等结果
|
 |
47
Itwillbeok 2020-04-13 11:33:20 +08:00
持续关注。另,这个 chrome,是原版 chrome 么?
|
 |
48
redsonic 2020-04-13 11:58:13 +08:00
先判断是不是 chrome 自己发出的。
新开进程观察 chrome://net-internals/#dns chrome://net-internals/#sockets 也可以记录 log chrome://net-export |
|
49
hhacker OP @Itwillbeok 原版 chrome v 81.0.4044.92
|
|
51
hhacker OP @redsonic
The net-internals events viewer and related functionality has been removed. 我用 chrome://net-export 记录 log 试试 |
 |
52
augustheart 2020-04-13 12:43:02 +08:00
1.查看计划任务
2.查看当前运行的进程(以及它们的模块),尝试关闭那些有问题的。 既然改名能解决,绝对是有东西在查找 chrome.exe 。 在内核中的可能性不高。基本上就是在 r3 层。现在的系统进内核要签名的,拿个签名做坏事划不来。 至于杀毒软件的结果不要完全相信,我亲眼见到它和我电脑里面的挖矿病毒谈笑风生。 |
|
53
hhacker OP @redsonic net-export 分析过了,没有相应的访问和 DNS 请求,应该可以排除 chrome 了,我也仔细对比过 chrome 的签名和 checksum,是没有问题的
|
 |
54
ddup 2020-04-13 12:48:19 +08:00
hosts 里面 把这些域名全部指向 0.0.0.0
|
 |
55
songpengf117 2020-04-13 13:15:39 +08:00 via iPhone
判断联网状态?
|
|
56
hhacker OP |
|
57
hhacker OP @songpengf117 你是指 chrome 用这些网站的 DNS 来判断联网状态?这个能否从 chrome 的源码里查到?
|
|
58
U7Q5tLAex2FI0o0g 2020-04-13 14:52:45 +08:00
楼主看看能不能从这个地方入手找找相似点:
 |
 |
60
jerrytom0007 2020-04-13 15:38:53 +08:00 via Android
最近安装了某讯手游模拟器,发现 edge 首页添加了百度,默认搜索劫持到百度,搜索框有 tn=的推广信息。手动修复后再次运行该模拟器可重现。最后卸载解决。
|
|
61
hhacker OP @jerrytom0007 这个我也遇到了,但奇怪的是,ie 或 edge 跳转的初始链接是在 go.microsoft.com 下,网上搜了下跳转后的小尾巴,发现很久以前就有了,有人说是百度给了微软钱?真是没能理解,微软要跳也应该是自家的必应啊。
有种可能性是 go.microsoft.com 被外部利用了 |
|
62
hhacker OP 已经切到 Windows 的安全模式下调试了,有进展马上更新到帖子里
|
 |
63
est 2020-04-13 15:46:00 +08:00
|
|
64
jerrytom0007 2020-04-13 15:47:11 +08:00 via Android
@hhacker 我的卸载后已经彻底解决。至于原理,我是外行,真的不懂。
|
 |
65
fonlan 2020-04-13 15:50:04 +08:00
装个 cFosSpeed 监控下连接试试?他能看到当前活动的 TCP 和 UDP 连接以及对应的程序和端口。
|
|
66
hhacker OP @est 应该不是注入到 chrome.exe 了,而是其它什么进程
安全模式无法重现这些奇怪的 DNS 请求,确认是中招了 |
 |
67
xmt328 2020-04-13 15:54:13 +08:00
赶上了直播查问题
|
 |
69
nnnToTnnn 2020-04-13 16:06:26 +08:00
可以用 glasswire 来分析以下到底是哪个进程。
|
 |
70
Sekai 2020-04-13 16:15:46 +08:00
是不是 win10 自带的那些小程序……
|
 |
71
V4Exp 2020-04-13 16:17:09 +08:00
Wireshark 抓包,看 DNS 请求源端口。
然后在命令行运行 netstat -anop udp 看本地监听 UDP 端口的进程列表,对比确定发送 DNS 请求的进程。 |
 |
72
cydian 2020-04-13 16:20:20 +08:00
跟进。
|
 |
73
yujiang 2020-04-13 16:20:42 +08:00 via Android
我的 chrome 也有一些奇怪的请求...看描述跟我原来挺相似的,后来直接重装好了
|
|
74
hhacker OP @V4Exp 用 procmon 能看到 dns 请求,但是是 windows 服务 dnscache 发出的。。。。
|
 |
75
wwbfred 2020-04-13 16:51:46 +08:00
要是系统组件的 dll 被挂了钩子了这种情况太难找了.
先检查检查进程命令行和服务吧,看看有没有什么可疑的. |
 |
76
ChangeTheWorld 2020-04-13 17:25:41 +08:00
微软的 Background Intelligent Transfer Service 被利用?
|
 |
77
systemcall 2020-04-13 21:14:41 +08:00
怀疑是 bootkit,现在的广告投放技术越来越先进了。
如果没有特殊需求,不要关闭安全启动,一定要用微软官方的工具装,不要用 PE 安系统。 在 OS 的 bootloader 之前加载了 bootkit 的话,系统里面是看不出来的。不清楚是不是 bootkit 导致的系统启动出现问题。 |
 |
78
azhi2007 2020-04-14 03:23:16 +08:00 via iPhone
等真相
|
|
79
hhacker OP 对不住支招的各位,目前的这个异常访问的情况超出我的处理能力了,无力反抗
|
|
80
hhacker OP 最后补充一个信息
在网关层面监控了流量,也没有访问到 2345 等网站 真真正正只是 DNS 请求而已,绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求,我只能以阿 Q 精神结束此事: 这是 ThinkPad OEM win10 的附带隐藏“福利” (没错!我一台新机器,这锅你就得背!) |
 |
81
salmon5 2020-04-14 08:50:48 +08:00 via Android
重装原版 win10 看看,以前还有 rootkit,现在 w 这个时代还有吗?
|
 |
83
jinliming2 2020-04-14 09:51:54 +08:00 via iPhone
如果是主程序重命名为 chrome.exe 可以复现的话,可以试试写个蜜罐程序命名为 chrome.exe 运行看看能不能抓出 hook 的程序?
|
|
84
hhacker OP @jinliming2 排查了一下 不是 hook,只是读了指定进程名是否存在
|
 |
85
nrtEBH 2020-04-14 10:28:19 +08:00
神奇了 围观下
|
|
86
Itwillbeok 2020-04-14 13:33:00 +08:00
神奇了,这一溜看下来,难道真的说是 Lenovo 为了国内用户快速访问常用网站,“人性化贴心”的让 Microsoft 给 win10 定制了这么一个神奇的 Feature ???[捂脸]……
|
|
87
hhacker OP @Itwillbeok 最不可能的猜测可能就是答案,因为我真的排除到只剩下 win10 的系统服务了 也不在我可以解决的范围内了
|
 |
88
LittleControl 2020-04-14 14:39:07 +08:00
mark 一下,等待问题的根源
|
|
89
Itwillbeok 2020-04-14 15:28:49 +08:00
@hhacker 我是 thinkpad t480,但买来后就重装了原版 win10,测了下无法复现这个现象。但我觉得联想不至于吧???这几个网站还怕 DNS 解析不及时???
|
 |
90
amazingrise 2020-04-14 16:13:34 +08:00 via Android
很多年前遇到跟楼主差不多的情况,不过是一个 Windows 服务在不停发 DNS 请求(没错,就只有 DNS 请求),目标网站是一个小说网站。拿 PCHunter 查不到任何隐藏服务。后来重装系统问题解决。那时候懂的少,没法诊断。期待楼主后续。
|
|
91
amazingrise 2020-04-14 16:27:33 +08:00 via Android
补充:系统 Windows7,64 位,组装台式机。上网特别卡,发现是 svchost 在不停发 DNS 请求。这个 svchost.exe 是有签名的,没什么问题。查找不到对应的 Windows 服务。(估计是病毒自己给删掉了)卡巴斯基,小红伞,avast,dr.web 都没查出任何结果,最后重装系统。(大概是刚出 Windows10 那会的事情,很多年了)
|
|
92
hhacker OP @Itwillbeok 所以这个行为很让人费解,主要是怎么样也没抓到可疑的网站访问流量,光请求个 DNS 有啥用?
|
|
93
hhacker OP @amazingrise 我没法重装系统。。。重度使用,不想重配各种环境了。
当初开箱没重装主要是想着正版 OEM win10 和 office 家庭版也还是有价值的 |
|
95
amazingrise 2020-04-14 19:21:56 +08:00
@hhacker 如果绑定了微软帐号,重装 office 和 windows 的相同版本是不影响的(应该都是家庭版?),登录后自动重新激活。这件事跟 oem 应该没啥关系
|
 |
97
bfdh 2020-04-15 09:55:15 +08:00
会不会是浏览器或者系统的联网状态检测?另外,楼主确认到了具体的发包程序了吗?
|
 |
99
locoz 2020-04-15 14:11:39 +08:00
收藏了,持续关注,感觉又是一个大瓜
|
|
100
yulihao 2020-04-15 16:01:44 +08:00
lz 随便写一个程序,重命名为 chrome.exe 然后看看还有没有请求。推荐用火绒剑,然后过滤掉其他只剩网络,再过滤 tcp,只抓 UDP (非广)
|
Select Language