DNSChanger路由器DNS劫持木马 新版本正在攻击家庭及小企业路由器 企图推送广告

Proofpoint公司安全人员表示,近期攻击者利用DNSChanger的更新版本发起攻击,试图感染家庭或小型办公室(SOHO)的路由器。攻击者显示虚假广告,利用JavaScript代码从PNG文件中提取HTML代码,将受害者重定向至DNSChanger的登录页面。然后尝试侦测当前路由器的型号及漏洞,并尝试入侵路由器修改DNS配置。

DNSChanger是什么

DNSChanger 是 DNS 劫持木马,从 2007 年开始到 2012 年都在网络活跃。一个曾经的例子,一家爱沙尼亚的公司Rove Digital,通过使用恶意软件感染电脑,用户修改计算机的 DNS 条目指向它自己的流氓域名服务器,然后把广告注入到 Web 页面。在其鼎盛时期,DNSChanger 估计有感染超过 400 万台电脑,带来的欺诈广告收入至少 达到1400 万美元的利润。

此次更新版本的DNSChanger攻击过程

攻击始于合法网站上的一个恶意广告。该广告通过合法广告代理商秘密传播。该恶意广告以桌面和移动用户为攻击目标,向DNSChanger漏洞攻击包发送流量。DNSChanger EK通过webRTC方式向STUN服务器发送请求,并确定攻击目标的本地IP地址。这是因为攻击仅在该IP地址尚不可知或在攻击范围内时实施,否则受害者将被定向至第三方广告代理商的合法广告。

如果满足所需条件,将显示虚假广告,利用JavaScript代码从PNG文件中提取HTML代码,将受害者重定向至DNSChanger的登陆页面。漏洞攻击包再次检查IP地址,加载多个功能以及通过隐写术隐藏在一个小图片中的AES密钥。然后,浏览器定位并识别网络中使用的路由器。

侦查阶段检测出的路由器型号决定了攻击的实施,因为如果这一路由器型号没有可供利用的漏洞,漏洞攻击包将尝试利用默认凭证。若路由器型号可用于发起攻击,漏洞攻击包将尝试在路由器上修改DNS配置,如果可能的话,将向外部地址提供管理端口,置路由器于其他攻击之下。

安全研究人员称,此次攻击的主要目的是从Propellerads、Popcash、Taboola、OutBrain和AdSuppy等主流网络广告代理商处窃取流量。

一旦用户的路由器被入侵,其设备、操作系统或使用的浏览器都会受到恶意广告的影响。同时,安全研究人员表示,路由器上出现了数轮攻击,这些攻击可能跟已持续数日且目前仍正在上演的恶意广告活动有关联。此外,这些攻击似乎还与2015年上半年出现的跨站请求伪造(CSRF)网址嫁接操作相关。

此次更新版本的DNSChanger攻击有向移动端蔓延的趋势

与之前攻击相比,这些新活动有了改进,如对外部地址进行外部DNS解析。此外,攻击者也利用隐写术,隐藏AES密钥。AES密钥用于解密指纹列表/默认凭证、本地解析、以及发送用于攻击路由器的命令的布局。

安全研究人员解释道,此类活动所利用的指纹从去年的55个增至目前的166个。其中,有些指纹用于数个路由器型号。此外,恶意广告链目前正向安卓设备蔓延。除此之外,Proofpoint表示,还发现漏洞攻击包更改了网络规则,使外部地址能够访问管理端口,为其他攻击(包括Mirai僵尸网络)的实施敞开了大门。

如何防止路由器被劫持 Proofpoint专家建议禁用路由器的Web服务 包括远程管理

同时,Proofpoint研究人员表示,无法一一列举受影响的路由器,

“对终端用户来说,最安全的方法就是确保所有已知漏洞均已包含在此类漏洞攻击包中。因此,所有路由器应升级至最新固件版本。”

目前,最新发现的受影响的路由器型号包括D-Link DSL-2740R、COMTREND ADSL Router CT-5367 C01_R12、NetGear WNDR3400v3(此系列的其他型号也可能面临被攻击的风险)、Pirelli ADSL2/2+无线路由器P.DGA4001N和Netgear R6200。

直到最近才披露了Netgear R7000、R6400和其他路由器中存在的零日漏洞,Netgear已开始安装补丁修复此漏洞。然而,Proofpoint表示,截至2016年12月12日,并未在DNSChanger上发现与这些路由器型号相关的指纹。即便如此,仍然建议用户在受影响的Netgear路由器上禁用Web服务器,因为这些指纹可能稍后就会用于发起攻击。

安全研究人员称,“很多情况下,只在SOHO路由器上禁用远程管理即可提升安全性。不过,此次攻击中,攻击者利用了网络设备的有线或无线连接。这样,即使远程管理未开启,攻击者也能成功修改路由器设置。”同时,他们表示,对于此类攻击来说,浏览器的广告拦截插件可提供一层额外防护。

原文发布时间:2017年3月24日

本文由:securityWeek 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/dnschanger-router-dns-hijack-trojan-attacking-router

本文来自合作伙伴安全加,了解相关信息可以关注安全加网站

时间: 2024-09-17 03:58:47

DNSChanger路由器DNS劫持木马 新版本正在攻击家庭及小企业路由器 企图推送广告的相关文章

多款思科小企业路由器曝出严重安全漏洞

近日,安全研究人员发现在数款思科RV系列小型企业路由器上,存在着多个严重的高危漏洞.对于其中的一些漏洞,目前厂商已经发布了更新补丁,相关设备拥有者请尽快下载安全补丁进行升级,避免受到进一步的攻击. 多款思科小企业路由器曝出严重安全漏洞 从思科发布的公告来看,目前RV110W.RV130W和RV215W等路由器中都涉及一个能够被攻击者利用的默认账户.通过该账户,攻击者可以获取路由器设备的root权限(漏洞编号CVE-2015-6397).然而一般来说,默认帐户通常应该是只读的,而不应该具有root

路由优化大师路由器DNS劫持攻击爆发,CSRF点中路由器的软肋

  在前些日子因为菲律宾枪杀台湾渔民而发生的"台菲黑客大战"中,台湾黑客一度攻陷菲律宾政府的DNS服务器,迫使菲律宾黑客公开"求饶".DNS安全问题再次成为国内外研究的焦点.而近日,网上又爆出了"54DNS" 劫持事件. 此次劫持由黑客利用宽带路由器缺陷对用户DNS进行篡改所导致,因为该WEB页面没有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗. DNS全称Domain Name System,在网络实现过程中担当着

家庭和办公路由器被劫持以发动 DDoS 攻击

网络安全专家Incapsula发布的一份最新报告显示,他们已经发现了一个DDoS僵尸网络劫持了成千上万的路由器,并且在去年12月下旬发动了第一波应用层的HTTP 洪水攻击.攻击流量来自全球范围属于1600个互联网服务商的40269个IP地址,IP地址被追溯到肇事者用来远程指挥恶意流量的60个指挥和控制系统. 研究发现,攻击大量使用了SOHO路由器,主要是基于ARM 的Ubiquiti设备,安全研究者最初假定黑客是通过一个共享的固件漏洞获取这些路由器的控制权,但是,进一步的检查发现,这些控制都是通

家庭和办公路由器被劫持以发动DDoS攻击

研究发现,攻击大量使用了SOHO路由器,主要是基于ARM的Ubiquiti设备,安全研究者最初假定黑客是通过一个共享的固件漏洞获取这些路由器的控制权,但是,进一步的检查发现,这些控制都是通过HTTP和SSH默认端口远程访问.最重要的是,几乎所有的路由器都有厂商提供的默认远程登录凭据,这允许Mr.Black恶意软件的变种被注入路由器. 统计数据显示,超过85%被感染的路由器都位于泰国和巴西,而大多数的命令和控制服务器都在美国(21%)和中国(73%).在发布这份报告之前,Incapsula联系路由

实现大规模中间人攻击的核武器:DNS劫持

现代社会,攻击者通过受害者访问网页的行为反复劫持银行账户是可行的.用不着浏览器漏洞利用,也看不到任何警告.对网络罪犯而言,这些攻击又廉价,成功率又高. 对头,这里所说的攻击就是DNS劫持.DNS劫持是受害者DNS请求被拦截并返回虚假响应的一种攻击类型.这种攻击能在保持URL栏不变的情况下,重定向用户到另一个网站. 举个例子,如果受害者访问 wf.com (美国富国银行集团),DNS请求可能会被发送到攻击者的DNS服务器,然后返回攻击者用以记录登录数据的Web服务器地址. 2010年以来,通过DN

路由器DNS被黑客篡改怎么办?

  路由器劫持是什么意思? 路由器劫持,通常是指在开启了无线网络的无线路由器当中,其他用户通过破解无线网络密码,从而连接上了你的无线网络,然后在通过登录路由器管理界面来控制整个无线网络. 通俗的说,路由器被劫持了就是,他人可以连接您的无线网络,并且登录上了无线路由器后台管理界面,可以任意修改路由器后台设置.篡改DNS地址,从而达到危害用户网络安全,获取私利的目的. 为什么黑客要劫持路由器DNS? 1.通过劫持路由器,可以篡改路由器DNS地址,一旦DNS地址被篡改,其就可以控制电脑访问网络的情况,

路由器DNS被篡改怎么办

  路由器DNS未遭篡改与遭篡改的商品搜索结果 如上图,是路由器DNS未被篡改以及遭受窜改的商品搜索网址变化,有问题的是正常的为s.taobao而有时候,如果路由器DNS遭受篡改后,我们搜索商品的网址前面就变成S8.taobao了,这里显示是有问题的.那么路由器DNS被篡改怎么办呢?其实也很简单,我们只需要进入路由器设置里边检查下DNS是否遭劫持篡改,如果有,改成自动获取即可,另外为了防止路由器DNS后期再遭劫持与篡改,我们要及时修改路由器登录密码. 1.首先登陆路由器的设置页面,方法是打开浏览

路由器成帮凶!第二季度DDoS攻击翻倍

DDoS的全名是Distributed Denial of Service(即分布式拒绝服务攻击).简单来说,很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击,而最早的DDOS攻击可追溯到1996年最初.可谓是"由来已久",却"经久不衰". 根据Akamai发布的最新调查报告显示,DDoS攻击在2015年第二季度同比增长了一倍!其中值得注意的是,超过100G的大流量攻击翻了一倍,而针对应用层和基础设施层的攻击更是分别增长了122%和134%.对此,Akamai

D-Link路由器现DNS劫持漏洞 其他设备或受影响

本文讲的是D-Link路由器现DNS劫持漏洞 其他设备或受影响,D-Link一款DSL路由器日前发现DNS劫持漏洞,此漏洞可使黑客远程修改DNS设置并劫持用户通信数据.安全研究员表示,因为多家生产商都使用有此漏洞的固件,其影响可能波及其他网络设备. 一份针对D-Link DSL-2740R型双功能ADSL无线路由器的概念验证性漏洞利用报告在周二被公开,D-Link和其他生产商的更多设备都有可能受影响. 这一漏洞实际上位于ZyXEL(合勤)通信公司研发的路由器固件ZynOS中,包括D-Link.普