返回列表 发帖

DNSChanger恶意软件回来了! 劫持路由器以目标每个连接的设备


下次当您在任何网站上看到您最喜欢的双鞋的广告,即使它是合法的,只是不要点击它。
...因为广告可能感染你,这不仅仅是你的系统,但连接到你的网络的每个设备都会受到影响。
几天前,我们报告了一个新的利用工具包,称为[url= http://xsswv.cn/黑客百万与只是一个图像-recipe:像素,广告和利用工.html ]Stegano[/url],在几个高调的新闻网站上旋转的横幅广告的像素中隐藏恶意代码。
现在,研究人员发现,攻击者使用名为DNSChanger的攻击工具来攻击在线用户,该攻击工具通过在图像数据中隐藏恶意代码的广告进行分发。
记住DNSChanger? 是的,2012年同样的恶意软件感染了全世界数百万计算
DNSChanger通过更改受感染计算机中的DNS服务器条目,指向受攻击者控制的恶意服务器,而不是任何ISP或组织提供的DNS服务器。
因此,每当受感染系统的用户查找Internet上的网站(例如,facebook.com)时,恶意DNS服务器会告诉您去(例如)钓鱼网站。攻击者还可以注入广告,重定向搜索结果或尝试安装驱动器下载。
最令人担忧的部分是,黑客在最近的广泛恶意广告活动中使用这两种威胁,其中DNSChanger恶意软件使用Stegno技术传播,一旦它攻击您的系统,而不是感染您的PC,它控制您的不安全的路由器。
Proofpoint的研究人员在超过166个路由器型号上发现了这种独特的DNSChanger漏洞利用工具包。该套件是独一无二的,因为其中的恶意软件不针对浏览器,而是针对运行未修补固件或使用弱管理密码保护的路由器。
下面是攻击的工作原理:

首先,在主要网站上隐藏图像数据中的恶意代码的广告将受害者重定向到托管DNSChanger攻击包的网页。 该攻击工具包然后针对不安全的路由器。
一旦路由器被攻破,DNSChanger恶意软件配置自己使用攻击者控制的DNS服务器,导致网络上的大多数计算机和设备访问恶意服务器,而不是那些对应于其官方域。包含恶意JavaScript代码的广告通过触发针对Mozilla STUN(用于NAT的会话穿越实用程序)服务器的WebRTC请求(web通信协议)来揭示用户的本地IP地址。
STUN服务器然后发送包含客户端的IP地址和端口的ping回。 如果目标的IP地址在目标范围内,则目标在PNG图像的元数据中接收伪造的广告隐藏利用代码。
恶意代码最终将访问者重定向到托管DNSChanger的网页,该网页使用Windows和Android的Chrome浏览器来提供隐藏了路由器漏洞代码的第二个图像。
[url=Proofpoint]http://xsswv.cn/7777.html[/url]研究员在一篇博客中写道:“这种攻击是由在侦察阶段检测到的特定路由器模型决定的。 “如果没有已知的漏洞,攻击将尝试使用默认凭据。
受影响的路由器列表
攻击然后掩盖流量并且比较访问的路由器与用于确定目标是否使用易受攻击的路由器模型的166个指纹。
一些脆弱的路由器包括:
D-Link DSL-2740R
NetGear WNDR3400v3 (and likely other models in this series)
Netgear R6200
COMTREND ADSL Router CT-5367 C01_R12
Pirelli ADSL2/2+ Wireless Router P.DGA4001N
目前还不清楚有多少人暴露了恶意广告或广告活动已经运行了多长时间,但Proofpoint说,攻击活动背后的攻击者以前每天感染超过100万人。
Proofpoint没有透露显示恶意广告的任何广告网络或网站的名称。
建议用户确保其路由器运行的是最新版本的固件,并使用强密码保护。 他们还可以禁用远程管理,更改其默认本地IP地址,并将可信DNS服务器硬编码到操作系统网络设置中。

返回列表