0x00 介紹
這個後門可以導緻某域名被劫持,劫持的域名是可以在遠端伺服器控制的,有後門的固件:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | |
DI系類産品都是上網行為管理認證路由器,功能比較強大,大多數都是企業在使用,可以根據京東的評論數量來推算銷量,受害者至少一萬。隻有DI系列的系統是使用WAYOS,根據網上的說法是WAYOS的産品和D-Link的産品有很多相似度,可以使用WAYOS系統山寨D-Link産品,DI系統四位數的,國外沒有賣,可以肯定受害者都是國内的。
0x01 發現之旅
以前沒有被發現,因為小夥伴大多數都是使用VPN上網,是以這樣的劫持起不到作用。
這個是有公司某小夥伴發現的,當打開http://www.ip138.com
檢視curl 請求www.ip138.com結果,可以看到整個傳回結果都被替換了
使用traceroute , 檢視是不是DNS域名解析劫持,www.ip138.com 的正确IP是222.245.77.75
看請求www.ip138.com 整個流程
異常請求了:
http://diy.szrca.com:7070/adv/202.jsp?uid=DI-8005W_CWMSQ1F5000368&ip=192.168.0.253&mac=6C-0B-XX-XX-25-85&js=0&surl=www.ip138.com/
http://union.iphonediy.com:8282/vv.zz?type=210&uid=DI-8005W_CWMSQ1F5000368&ip=192.168.0.253&mac=6C-0B-XX-XX-25-85
uid : 是路由器固件版本, ip : 是本機IP, mac : 是MAC位址
surl : 被劫持的域名
http://sh.edhlw.com/img/hkx28i 跳轉到目的地頁面
通過以上可以斷定是路由器出來問題,因為連我的路由器版本都知道,一定是固件安裝了後門,于是去官方下載下傳固件來分析。
0x02 下載下傳D-Link固件
官方下載下傳DI-8500W固件
右鍵複制下載下傳位址:http://support.dlink.com.cn/download.ashx?file=509
可以看到file都是數字,很有規律,那樣我們就可以分段批量下載下傳所有固件:
wget http://support.dlink.com.cn/download.ashx?file={1..700}
下載下傳所有固件是為了找到沒有後門的舊版本固件,結果每個系列隻有一個版本,令我太失望了。
所有固件度娘:http://pan.baidu.com/s/1i5wLO8H 密碼3xpm
0x03 分析DI-8500W固件
使用binwalk 解壓固件:binwalk -eM DI_8005W-15.06.17A1.trx
提取字元 : strings * > strings.txt
根據之前提到的,有很多關鍵字可以用來搜尋,比如surl:
http://diy.szrca.com:7070/adv/202.jsp?uid=DI-8005W_CWMSQ1F5000368&ip=192.168.0.253&mac=6C-0B-XX-XX-25-85&js=0&surl=www.ip138.com/
至于要分析劫持原理,有幾種劫持,可以下載下傳度娘:http://pan.baidu.com/s/1i5wLO8H 密碼3xpm 裡的檔案D-Link-firmwares/trx/binwalk_extracted_trx_all.tar.gz 把 nvram 拖進 IDA 分析,或者建一個Qemu MIPS 虛拟機運作試試。
0x04 幕後黑手:承希廣告聯盟? WAYOS ? D-Link ?
相關域名:
http://diy.szrca.com:7070 ip: 119.97.180.242
http://union.iphonediy.com:8282 ip: 119.97.180.242
http://union.51cy.org ip: 42.96.190.205
http://union.116wz.com
http://sh.edhlw.com ip:119.147.249.218
右鍵檢視源碼http://diy.szrca.com:7070
WAYOS資訊
Whois 資訊 :
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 | |
Whois 資訊 :
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 | |
類似作者資訊:
我就不妄下評論了
0x05 威脅評估
導緻DNS劫持,挂馬,釣魚,錢包空空,敏感資訊洩露,賬号和密碼洩露......
0x06 解決方法
有條件的可以換一個裝置,或者使用防火牆禁止diy.szrca.com ,*.szrca.com , *.wayos.net , union.51cy.org, *.51cy.org, *.wayos.cn, *.wayos.net , *.wayos[1-10].cn , union.iphonediy.com ,*.iphonediy.com,*.wayos.com ,sh.edhlw.com ,*.edhlw.com
0x07 總結
畢竟時間有限,還有别的事情要做,哪裡沒有不專業的地方,請多多包涵,我已經送出某漏洞平台,有疑問的或有建議的可以發我郵件: