Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
hhacker 2020-04-12 17:22:16 +08:00 16133 次点击这是一个创建于 2085 天前的主题,其中的信息可能已经有所发展或是发生改变。
每过 1 分钟的样子,Chrome 就会发送一个 DNS 请求,同时请求:
Chrome 版本号为 81.0.4044.92 Chrome 的这个操作是正常的吗?仔细检查了一下电脑,应该是没有中流氓软件 /病毒的。
第 1 条附言 2020-04-12 19:08:36 +08:00
尝试把 chrome.exe 改成 cc.exe 再运行,就没有那些请求了,是外部有什么程序在监控 chrome.exe 进程吗?
查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
第 2 条附言 2020-04-13 12:33:15 +08:00
给大佬们汇报下蜜罐情况
1. 本机 www.2345.com host 指向 127.0.0.1
2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
3. access_log /home/wwwlogs/honeypot.log
手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。
巨大的疑问号
1. 本机 www.2345.com host 指向 127.0.0.1
2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
3. access_log /home/wwwlogs/honeypot.log
手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。
巨大的疑问号
第 3 条附言 2020-04-13 15:21:43 +08:00
已确认中招了,但这个流氓具体藏在哪里还没找到,现在又发现了以下几点:
1. 打开 ie 或 edge 也会触发
2. firefox 不会触发
3. firefox.exe 改名成 chrome.exe 运行会触发
1. 打开 ie 或 edge 也会触发
2. firefox 不会触发
3. firefox.exe 改名成 chrome.exe 运行会触发
第 4 条附言 2020-04-13 15:31:14 +08:00
把 firefox.exe 改成
MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
第 5 条附言 2020-04-13 15:33:19 +08:00
这些 dns 请求无视本机的 hosts,目前的情况看是针对 chrome 、ie 、和 edge 进行了监控
第 6 条附言 2020-04-13 16:00:59 +08:00
安全模式无法复现,正常启动可复现
第 7 条附言 2020-04-13 16:35:17 +08:00
用 Process Monitor 看所有的进程都是合法签名过的,没有可疑注入。
干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
第 8 条附言 2020-04-13 17:06:32 +08:00
补充一个复现的条件:
改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
超纲了超纲了,今天就这样了,有思路了再搞
改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
超纲了超纲了,今天就这样了,有思路了再搞
第 9 条附言 2020-04-13 18:55:32 +08:00
最新进展:
autoruns 把非微软家的服务 /启动项全关了
重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
autoruns 把非微软家的服务 /启动项全关了
重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
第 10 条附言 2020-04-14 01:01:16 +08:00
系统是 thinkpad t480s 原装的 win10 家庭版,开箱附带了一些联想的软件。
没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
 | 1 hhacker OP  奇怪 为什么图床不显示 |
 | 2 eason1874 2020-04-12 17:28:13 +08:00 应该是书签里有这些网址吧? Chrome 会先解析好这些域名,提升访问体验,至于 1 分钟解析一次,应该是这些域名解析记录 TTL 只有 1 分钟。 |
 | 3 ClericPy 2020-04-12 17:34:46 +08:00  1 一般是正常的... 考虑用 incognito 模式启动再看看? 有书签的时候好像就老请求 我最服的一点是, 没完没了的请求 favicon.ico... 各个网站都默认请求一次, 默认还 Cache-Control: no-cache...... |
 | 5 clague 2020-04-12 17:42:34 +08:00 via Android chrome 会自动加载你可能访问的页面提高加载速度,会不会是这个原因。 |
| 7 hhacker OP 有没有得闲的,做一下 dns sniff 看能复现不? |
 | 8 xuroid 2020-04-12 17:45:41 +08:00 这是用什么工具看的,我看看我的有没有 |
 | 9 kyoro 2020-04-12 17:49:53 +08:00 下一个 [Adware Removal Tool by TSA] 扫扫,之前自动跳转 hao123 等就是用这个修好的 |
| 10 xuroid 2020-04-12 18:00:31 +08:00 @xuroid 用 DNSQuerySniffer 工具查看了下,除了打开新网页时有相应网页的 DNS 解析,别的就只有微软的 DNS 解析。其中 windowsupdate 大概 2 分钟请求一次。我书签有 200 多个。 |
 | 12 mengyx 2020-04-12 18:30:28 +08:00 可能是你的 新标签页的最常访问 里面有这些网站 |
 | 13 Lentin 2020-04-12 18:30:42 +08:00 是不是装了什么扩展插件? |
| 17 hhacker OP | 2020/4/12 18:33:27 127.0.0.1 : www.2345.com. | A |- CacheContains : www.2345.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.baidu.com. | A |- CacheContains : www.baidu.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.hao123.com. | A |- CacheContains : www.hao123.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.sogou.com. | A |- CacheContains : www.sogou.com. | Count : 62 奇怪的是用 fiddler 看不到相关的 https/http 请求,如果是被流氓软件刷量的话 应该是可以看到请求的吧 还是现在流氓软件隐藏得太好了? |
| 18 hhacker OP @mengyx 我用 fiddler 看过了 没有请求,用 wireshark 也没过滤出个有用的包,只能看到 DNS 的请求 |
 | 19 cquyf 2020-04-12 20:50:19 +08:00 暂时没遇到过 |
 | 20 syuraking 2020-04-12 21:11:08 +08:00 检查 WMI 事件 |
 | 21 tenwx 2020-04-12 21:13:18 +08:00 我之前遇到过楼主一样的问题,后来发现原因是安装过 99 宿舍软件,那玩意儿会劫持 winsock,netsh winsock show catalog 可以看到流氓软件的 dll 文件,netsh winsock reset 后解决 |
 | 22 muzuiget 2020-04-12 21:15:06 +08:00 楼主怎么判断这些 DNS 是 Chrome 发出的? |
| 23 hhacker OP @muzuiget 不知道是哪里发出的,只能判断和 chrome 有关,因为关掉就没那些请求了 |
 | 24 dot2017 2020-04-12 22:37:44 +08:00 有试过把 chrome 扩展都关了么 |
| 27 dot2017 2020-04-12 22:46:34 +08:00 单从发送请求的域名来看,感觉是对方想拦截这些域名去刷 referrer,类似于那种广告联盟的行为。 你可以试一下在隐身模式手动打开其中的一个网站,看打开后地址栏 URL 后面有没有加奇怪的后缀,比如?xxxx 另外你是通过快捷方式启动 chrome 的么,看看快捷方式的地址后面是不是加了启动参数 |
| 28 hhacker OP @dot2017 没有启动参数的,是否在隐身模式也不影响这个 dns 请求重现,不需要访问网站它也会自动请求,只要 chrome.exe 进程在 |
| 29 hhacker OP 明天做个蜜罐,拦一下这几个网站的访问看看,如果是刷量请求的话这也隐藏得太好了,hold 住连接,应该就能看到打开的端口 |
 | 30 wclebb 2020-04-12 23:44:03 +08:00 最烦的就是这样,因为这样我才把系统重装了。在公司的时候,那时候好像是因为弹广告、网页劫持,唯一怀疑只有自己装看图王( 2345 出品)。 那时候强迫症,查了半天找不出来哪里发起。360 也没用(?) 后来就是重装系统了,再后来我也不用看图王,从此以后安静多了。 |
 | 31 HEROic 2020-04-13 00:26:58 +08:00 via Android 硬核查问题~ 大佬 np |
 | 32 elfive 2020-04-13 06:19:52 +08:00 via iPhone 试试用火绒查一下病毒。 |
 | 34 yulihao 2020-04-13 08:08:10 +08:00 楼主直接 chrome://version 看看启动命令行,与快捷方式的对比,确认是 chrome 问题还是 LoadProcess 函数被劫持 |
| 35 hhacker OP @yulihao 命令行 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox 未见异常 |
 | 36 2joe 2020-04-13 09:01:17 +08:00 via iPhone 硬核,等待后续结果 |
 | 37 lincolnhuang 2020-04-13 09:12:44 +08:00 前排围观 |
 | 38 doveyoung 2020-04-13 09:43:26 +08:00 这种问题一般不好查,先 netsh winsock reset 简单粗暴,如果不能解决再慢慢查……emmmmm |
 | 39 1462326016 2020-04-13 09:52:49 +08:00 有没有可能是搜狗的 dll 注入到了 Chrome,我记得输入法打开了就会注入到对应进程去。可以尝试卸载搜狗输入法尝试下还有没有。 |
 | 40 Les1ie 2020-04-13 10:08:48 +08:00 试试火绒剑?猜测可能是有第三方的程序在检测 chrome 的进程是否存在 1.选择系统,设定过滤,路径过滤,输入 chrome, 2. 找不是 chrome 发起的,但是指向了 chrome 的文件夹的动作 日志比较长可以到处日志,在文本编辑器里面分析。 另外可以看看本机有没有奇怪的启动项,不正常的网络连接 https://i.loli.net/2020/04/13/YP3JcV9EfxFouTq.png https://i.loli.net/2020/04/13/MiOga9xJhdwP4pr.png |
| 42 hhacker OP @1462326016 未安装搜狗输入法 @Les1ie 火绒剑和 procmon 都分析过 dns 请求前后的日志 未见异常(如果不是隐藏得太好,那就是没有后续操作,但是单一请求个 dns 有啥用捏) @yulihao 已经火绒剑看过了 |
 | 44 realpg PRO 装个 360 扫一遍 狗头 |
 | 45 Cursor1st 2020-04-13 11:26:18 +08:00 试试,备份插件和书签后,清空 chrome 。甚至重装 chrome 试试? 先排除其本身的原因。 |
 | 46 U7Q5tLAex2FI0o0g 2020-04-13 11:28:38 +08:00 好奇,等结果 |
 | 47 Itwillbeok 2020-04-13 11:33:20 +08:00 持续关注。另,这个 chrome,是原版 chrome 么? |
 | 48 redsonic 2020-04-13 11:58:13 +08:00 先判断是不是 chrome 自己发出的。 新开进程观察 chrome://net-internals/#dns chrome://net-internals/#sockets 也可以记录 log chrome://net-export |
| 49 hhacker OP @Itwillbeok 原版 chrome v 81.0.4044.92 |
| 51 hhacker OP @redsonic The net-internals events viewer and related functionality has been removed. 我用 chrome://net-export 记录 log 试试 |
 | 52 augustheart 2020-04-13 12:43:02 +08:00 1.查看计划任务 2.查看当前运行的进程(以及它们的模块),尝试关闭那些有问题的。 既然改名能解决,绝对是有东西在查找 chrome.exe 。 在内核中的可能性不高。基本上就是在 r3 层。现在的系统进内核要签名的,拿个签名做坏事划不来。 至于杀毒软件的结果不要完全相信,我亲眼见到它和我电脑里面的挖矿病毒谈笑风生。 |
| 53 hhacker OP @redsonic net-export 分析过了,没有相应的访问和 DNS 请求,应该可以排除 chrome 了,我也仔细对比过 chrome 的签名和 checksum,是没有问题的 |
 | 54 ddup 2020-04-13 12:48:19 +08:00 hosts 里面 把这些域名全部指向 0.0.0.0 |
 | 55 songpengf117 2020-04-13 13:15:39 +08:00 via iPhone 判断联网状态? |
| 56 hhacker OP |
| 57 hhacker OP @songpengf117 你是指 chrome 用这些网站的 DNS 来判断联网状态?这个能否从 chrome 的源码里查到? |
| 58 U7Q5tLAex2FI0o0g 2020-04-13 14:52:45 +08:00 楼主看看能不能从这个地方入手找找相似点:  |
 | 60 jerrytom0007 2020-04-13 15:38:53 +08:00 via Android 最近安装了某讯手游模拟器,发现 edge 首页添加了百度,默认搜索劫持到百度,搜索框有 tn=的推广信息。手动修复后再次运行该模拟器可重现。最后卸载解决。 |
| 61 hhacker OP @jerrytom0007 这个我也遇到了,但奇怪的是,ie 或 edge 跳转的初始链接是在 go.microsoft.com 下,网上搜了下跳转后的小尾巴,发现很久以前就有了,有人说是百度给了微软钱?真是没能理解,微软要跳也应该是自家的必应啊。 有种可能性是 go.microsoft.com 被外部利用了 |
| 62 hhacker OP 已经切到 Windows 的安全模式下调试了,有进展马上更新到帖子里 |
 | 63 est 2020-04-13 15:46:00 +08:00 |
| 64 jerrytom0007 2020-04-13 15:47:11 +08:00 via Android @hhacker 我的卸载后已经彻底解决。至于原理,我是外行,真的不懂。 |
 | 65 fonlan 2020-04-13 15:50:04 +08:00 装个 cFosSpeed 监控下连接试试?他能看到当前活动的 TCP 和 UDP 连接以及对应的程序和端口。 |
| 66 hhacker OP @est 应该不是注入到 chrome.exe 了,而是其它什么进程 安全模式无法重现这些奇怪的 DNS 请求,确认是中招了 |
 | 67 xmt328 2020-04-13 15:54:13 +08:00 赶上了直播查问题 |
 | 69 nnnToTnnn 2020-04-13 16:06:26 +08:00 可以用 glasswire 来分析以下到底是哪个进程。 |
 | 70 Sekai 2020-04-13 16:15:46 +08:00 是不是 win10 自带的那些小程序…… |
 | 71 V4Exp 2020-04-13 16:17:09 +08:00 Wireshark 抓包,看 DNS 请求源端口。 然后在命令行运行 netstat -anop udp 看本地监听 UDP 端口的进程列表,对比确定发送 DNS 请求的进程。 |
 | 72 cydian 2020-04-13 16:20:20 +08:00 跟进。 |
 | 73 yujiang 2020-04-13 16:20:42 +08:00 via Android 我的 chrome 也有一些奇怪的请求...看描述跟我原来挺相似的,后来直接重装好了 |
| 74 hhacker OP @V4Exp 用 procmon 能看到 dns 请求,但是是 windows 服务 dnscache 发出的。。。。 |
 | 75 wwbfred 2020-04-13 16:51:46 +08:00 要是系统组件的 dll 被挂了钩子了这种情况太难找了. 先检查检查进程命令行和服务吧,看看有没有什么可疑的. |
 | 76 ChangeTheWorld 2020-04-13 17:25:41 +08:00 微软的 Background Intelligent Transfer Service 被利用? |
 | 77 systemcall 2020-04-13 21:14:41 +08:00 怀疑是 bootkit,现在的广告投放技术越来越先进了。 如果没有特殊需求,不要关闭安全启动,一定要用微软官方的工具装,不要用 PE 安系统。 在 OS 的 bootloader 之前加载了 bootkit 的话,系统里面是看不出来的。不清楚是不是 bootkit 导致的系统启动出现问题。 |
 | 78 azhi2007 2020-04-14 03:23:16 +08:00 via iPhone 等真相 |
| 79 hhacker OP 对不住支招的各位,目前的这个异常访问的情况超出我的处理能力了,无力反抗 |
| 80 hhacker OP 最后补充一个信息 在网关层面监控了流量,也没有访问到 2345 等网站 真真正正只是 DNS 请求而已,绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求,我只能以阿 Q 精神结束此事: 这是 ThinkPad OEM win10 的附带隐藏“福利” (没错!我一台新机器,这锅你就得背!) |
 | 81 salmon5 2020-04-14 08:50:48 +08:00 via Android 重装原版 win10 看看,以前还有 rootkit,现在 w 这个时代还有吗? |
 | 83 jinliming2 2020-04-14 09:51:54 +08:00 via iPhone 如果是主程序重命名为 chrome.exe 可以复现的话,可以试试写个蜜罐程序命名为 chrome.exe 运行看看能不能抓出 hook 的程序? |
| 84 hhacker OP @jinliming2 排查了一下 不是 hook,只是读了指定进程名是否存在 |
 | 85 nrtEBH 2020-04-14 10:28:19 +08:00 神奇了 围观下 |
| 86 Itwillbeok 2020-04-14 13:33:00 +08:00 神奇了,这一溜看下来,难道真的说是 Lenovo 为了国内用户快速访问常用网站,“人性化贴心”的让 Microsoft 给 win10 定制了这么一个神奇的 Feature ???[捂脸]…… |
| 87 hhacker OP @Itwillbeok 最不可能的猜测可能就是答案,因为我真的排除到只剩下 win10 的系统服务了 也不在我可以解决的范围内了 |
 | 88 LittleControl 2020-04-14 14:39:07 +08:00 mark 一下,等待问题的根源 |
| 89 Itwillbeok 2020-04-14 15:28:49 +08:00 @hhacker 我是 thinkpad t480,但买来后就重装了原版 win10,测了下无法复现这个现象。但我觉得联想不至于吧???这几个网站还怕 DNS 解析不及时??? |
 | 90 amazingrise 2020-04-14 16:13:34 +08:00 via Android 很多年前遇到跟楼主差不多的情况,不过是一个 Windows 服务在不停发 DNS 请求(没错,就只有 DNS 请求),目标网站是一个小说网站。拿 PCHunter 查不到任何隐藏服务。后来重装系统问题解决。那时候懂的少,没法诊断。期待楼主后续。 |
| 91 amazingrise 2020-04-14 16:27:33 +08:00 via Android 补充:系统 Windows7,64 位,组装台式机。上网特别卡,发现是 svchost 在不停发 DNS 请求。这个 svchost.exe 是有签名的,没什么问题。查找不到对应的 Windows 服务。(估计是病毒自己给删掉了)卡巴斯基,小红伞,avast,dr.web 都没查出任何结果,最后重装系统。(大概是刚出 Windows10 那会的事情,很多年了) |
| 92 hhacker OP @Itwillbeok 所以这个行为很让人费解,主要是怎么样也没抓到可疑的网站访问流量,光请求个 DNS 有啥用? |
| 93 hhacker OP @amazingrise 我没法重装系统。。。重度使用,不想重配各种环境了。 当初开箱没重装主要是想着正版 OEM win10 和 office 家庭版也还是有价值的 |
| 95 amazingrise 2020-04-14 19:21:56 +08:00 @hhacker 如果绑定了微软帐号,重装 office 和 windows 的相同版本是不影响的(应该都是家庭版?),登录后自动重新激活。这件事跟 oem 应该没啥关系 |
 | 97 bfdh 2020-04-15 09:55:15 +08:00 会不会是浏览器或者系统的联网状态检测?另外,楼主确认到了具体的发包程序了吗? |
 | 99 locoz 2020-04-15 14:11:39 +08:00 收藏了,持续关注,感觉又是一个大瓜 |
| 100 yulihao 2020-04-15 16:01:44 +08:00 lz 随便写一个程序,重命名为 chrome.exe 然后看看还有没有请求。推荐用火绒剑,然后过滤掉其他只剩网络,再过滤 tcp,只抓 UDP (非广) |
Select Language