开发者社区> 云栖大讲堂> 正文

Switcher利用流氓DNS服务器攻击路由器

简介:
+关注继续查看

如果你可利用Android木马程序来感染本地WiFi接入点,并可利用DNS劫持攻击每台连接到该网络的设备,那何必浪费时间去攻击Android设备?

恶意软件

卡巴斯基研究人员报告称他们发现一种新型Android恶意软件,他们称之为“Trojan.AndroidOS.Switcher”,它做的正是上述的事情:当它启动并确定自己是在目标无线网络中后,该恶意软件会暴力破解本地WiFi路由器密码。如果成功的话,该恶意软件会重置默认域名系统(DNS)服务器为自己的服务器。这样的话,它就可对连接到该网络的其他设备或系统执行几乎任何类型的攻击。

卡巴斯基移动恶意软件分析师Nikita Buchka在博客中写道:“这种攻击并不是攻击用户,而是攻击用户连接的WiFi,更准确地说,无线路由器。”这种新的Android木马程序通过在路由器管理Web界面暴力破解密码来获得访问权限。“如果攻击成功,该恶意软件会更改路由器设置中DNS服务器的地址,因此它可将受感染WiFi网络中设备的所有DNS查询请求路由到攻击者的服务器,这种攻击也被称为DNS劫持攻击。”

由于设备通常重置其默认DNS服务器配置以反映本地WiFi路由器中默认值,这种新型Android木马程序可迫使通过路由器连接的设备指向受攻击者控制的流氓DNS服务器。其结果是,当攻击者可访问路由器DNS设置时,几乎可控制该路由器服务的网络中所有的流量。

Buchka称,如果这个Switcher恶意软件成功安装路由器中,它可让用户面临“广泛的攻击”威胁,例如网络钓鱼攻击。“攻击者篡改路由器设置的主要危害是,即使路由器重启新设置仍将存在,并且DNS劫持很难被发现,”他表示,“即使流氓DNS服务器被禁用一段时间,则将使用辅助DNS(设置为8.8.8.8),用户和/或IT也不会收到警告。”

通过设置辅助DNS服务器为谷歌的DNS服务--IP地址为8.8.8.8,攻击者可确保即使自己的恶意DNS服务器不可用,用户也不会遭遇任何中断。

当Switcher进入用户的Android设备后,它会检查本地无线网络的基本服务集标识符(本地网络接入点的MAC地址),并将其报告给该木马程序的命令控制网络,再进行暴力破解以及重新配置路由器。该恶意软件还会尝试识别正在使用哪个互联网服务提供商,以便它可重新配置路由器为使用流氓DNS服务器,然后可对路由器系统管理的Web界面进行暴力攻击。

卡巴斯基报告了两种版本的Android木马程序:其中一个版本伪装成中文搜索引擎百度移动客户端,另一个伪装成流行中文应用(用于共享WiFi访问信息)。根据卡巴斯基对该恶意软件中硬编码的输入字段名称的分析,以及对该Android木马程序试图访问的HTML文件结构的分析,卡巴斯基判断该Switcher只会感染TP-LINK WiFi路由器。

Switcher攻击者将其命令控制系统搭载在用于推广其假WiFi接入应用的网站;根据卡巴斯基表示,该网站还包含Switcher感染计数器。卡巴斯基报告称1280个WiFi网络已经成功被渗透。卡巴斯基建议用户检查其DNS配置是否已经配置为任何流氓DNS服务器(101.200.147.153、 112.33.13.11和120.76.249.59)。如果网络已经被感染,则可重置DNS服务器配置以及默认路由器管理密码来缓解攻击;我们还可通过更改系统管理默认用户ID和密码来防止攻击。


作者:邹铮

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
通过 SSH 暴力攻击 Linux 服务器
通过 SSH 暴力攻击 Linux 服务器
20 0
【SSH远程连接问题】在校园网内使用SSH服务远程访问云服务器,结果连接不上,误以为是服务器被攻击了。结果是因为......
【SSH远程连接问题】在校园网内使用SSH服务远程访问云服务器,结果连接不上,误以为是服务器被攻击了。结果是因为......
23 0
企业服务器被.eight后缀勒索病毒攻击,数据文件如何自救?
当企业遭受勒索病毒攻击时,数据库文件被加密,这会导致企业无法访问其重要的业务数据,会给企业带来较大的困扰。本篇文章,91数据恢复专家将会针对.eight勒索病毒,介绍如何恢复被.eight后缀勒索病毒加密的数据库文件。 如果受感染的数据确实有恢复的价值与必要性,您可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。
31 0
服务器遭受攻击之后的常见思路
当服务器收到攻击的时候该怎么办
20 0
路由基础:三层交换机、单臂路由的特点以及配置特点、DHCP报文类型、DHCP工作原理、在路由器上配置DHCP、在交换机上配置DHCP、配置DNS服务器
三层交换机、单臂路由的特点以及配置特点、DHCP报文类型、DHCP工作原理、在路由器上配置DHCP、在交换机上配置DHCP、配置DNS服务器
106 0
服务器防CC攻击的几种方法
服务器如何防CC攻击的几种方法。CC攻击是相对于普通DDoS攻击更加难以防御,CC攻击流量不大,但占用的是服务器的CPU资源。CC攻击来的IP都是真实的,分散的。数据包都是正常的数据包,攻击的请求全都是有效的请求,无法拒绝的请求。具体表现为:服务器可以连接,ping也没问题,但是网页和服务器管理后台就是访问不了,也见不到特别大的异常流量,但是持续时间长,仍能造成服务器无法进行正常连接,危害非常大。CC攻击原理:CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器的CPU资源,每个人都有这样的体验:当一个网页访问的人数特别
450 0
新型 Linux 僵尸网络变种“EnemyBot”现身!利用 Web 服务器、Android 及 CMS 漏洞进行攻击
新型 Linux 僵尸网络变种“EnemyBot”现身!利用 Web 服务器、Android 及 CMS 漏洞进行攻击
123 0
NukeSped“后门”重现!朝鲜黑客组织 Lazarus 利用 Log4j 漏洞攻击 VMware Horizon 服务器
NukeSped“后门”重现!朝鲜黑客组织 Lazarus 利用 Log4j 漏洞攻击 VMware Horizon 服务器
209 0
相亲app源码,服务器遭受攻击后需要做好的几件事
相亲app源码,服务器遭受攻击后需要做好的几件事
56 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
函数计算事件驱动的无服务器计算服务
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载