proofpoint公司安全人員表示,近期攻擊者利用dnschanger的更新版本發起攻擊,試圖感染家庭或小型辦公室(soho)的路由器。攻擊者顯示虛假廣告,利用javascript代碼從png檔案中提取html代碼,将受害者重定向至dnschanger的登入頁面。然後嘗試偵測目前路由器的型号及漏洞,并嘗試入侵路由器修改dns配置。
dnschanger 是 dns 劫持木馬,從 2007 年開始到 2012 年都在網絡活躍。一個曾經的例子,一家愛沙尼亞的公司rove digital,通過使用惡意軟體感染電腦,使用者修改計算機的 dns 條目指向它自己的流氓域名伺服器,然後把廣告注入到 web 頁面。在其鼎盛時期,dnschanger 估計有感染超過 400 萬台電腦,帶來的欺詐廣告收入至少 達到1400 萬美元的利潤。
攻擊始于合法網站上的一個惡意廣告。該廣告通過合法廣告代理商秘密傳播。該惡意廣告以桌面和移動使用者為攻擊目标,向dnschanger漏洞攻擊包發送流量。dnschanger ek通過webrtc方式向stun伺服器發送請求,并确定攻擊目标的本地ip位址。這是因為攻擊僅在該ip位址尚不可知或在攻擊範圍内時實施,否則受害者将被定向至第三方廣告代理商的合法廣告。
如果滿足所需條件,将顯示虛假廣告,利用javascript代碼從png檔案中提取html代碼,将受害者重定向至dnschanger的登陸頁面。漏洞攻擊包再次檢查ip位址,加載多個功能以及通過隐寫術隐藏在一個小圖檔中的aes密鑰。然後,浏覽器定位并識别網絡中使用的路由器。
偵查階段檢測出的路由器型号決定了攻擊的實施,因為如果這一路由器型号沒有可供利用的漏洞,漏洞攻擊包将嘗試利用預設憑證。若路由器型号可用于發起攻擊,漏洞攻擊包将嘗試在路由器上修改dns配置,如果可能的話,将向外部位址提供管理端口,置路由器于其他攻擊之下。
安全研究人員稱,此次攻擊的主要目的是從propellerads、popcash、taboola、outbrain和adsuppy等主流網絡廣告代理商處竊取流量。
一旦使用者的路由器被入侵,其裝置、作業系統或使用的浏覽器都會受到惡意廣告的影響。同時,安全研究人員表示,路由器上出現了數輪攻擊,這些攻擊可能跟已持續數日且目前仍正在上演的惡意廣告活動有關聯。此外,這些攻擊似乎還與2015年上半年出現的跨站請求僞造(csrf)網址嫁接操作相關。
與之前攻擊相比,這些新活動有了改進,如對外部位址進行外部dns解析。此外,攻擊者也利用隐寫術,隐藏aes密鑰。aes密鑰用于解密指紋清單/預設憑證、本地解析、以及發送用于攻擊路由器的指令的布局。
安全研究人員解釋道,此類活動所利用的指紋從去年的55個增至目前的166個。其中,有些指紋用于數個路由器型号。此外,惡意廣告鍊目前正向安卓裝置蔓延。除此之外,proofpoint表示,還發現漏洞攻擊包更改了網絡規則,使外部位址能夠通路管理端口,為其他攻擊(包括mirai僵屍網絡)的實施敞開了大門。
同時,proofpoint研究人員表示,無法一一列舉受影響的路由器,
“對終端使用者來說,最安全的方法就是確定所有已知漏洞均已包含在此類漏洞攻擊包中。是以,所有路由器應更新至最新固件版本。”
目前,最新發現的受影響的路由器型号包括d-link dsl-2740r、comtrend adsl router ct-5367 c01_r12、netgear wndr3400v3(此系列的其他型号也可能面臨被攻擊的風險)、pirelli adsl2/2+無線路由器p.dga4001n和netgear r6200。
直到最近才披露了netgear r7000、r6400和其他路由器中存在的零日漏洞,netgear已開始安裝更新檔修複此漏洞。然而,proofpoint表示,截至2016年12月12日,并未在dnschanger上發現與這些路由器型号相關的指紋。即便如此,仍然建議使用者在受影響的netgear路由器上禁用web伺服器,因為這些指紋可能稍後就會用于發起攻擊。
安全研究人員稱,“很多情況下,隻在soho路由器上禁用遠端管理即可提升安全性。不過,此次攻擊中,攻擊者利用了網絡裝置的有線或無線連接配接。這樣,即使遠端管理未開啟,攻擊者也能成功修改路由器設定。”同時,他們表示,對于此類攻擊來說,浏覽器的廣告攔截插件可提供一層額外防護。
原文釋出時間:2017年3月24日
本文由:securityweek 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/dnschanger-router-dns-hijack-trojan-attacking-router
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站
![主流浏覽器四大綜合性能測試[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)