大规模攻击利用浏览器劫持路由器

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
简介:

网络罪犯开发了一种基于Web的攻击工具,当用户访问受感染网站或查看恶意广告时,该工具将大规模劫持路由器。

大规模攻击利用浏览器劫持路由器

这种攻击的目标是使用攻击者控制的流氓服务器来取代路由器中配置的DNS(域名系统)服务器,这让攻击者可以拦截流量、欺骗网站、劫持搜索查询、注入恶意广告到网页等。

DNS就像是互联网的电话簿,它发挥着关键作用。它将域名(方便用户记住)转换成数字IP(互联网协议)地址,让计算机可互相通信。

DNS以分级的方式运作。当用户在浏览器中输入网站的名称,浏览器会向操作系统请求该网站的IP地址。然后操作系统会询问本地路由器,查询其中配置的DNS服务器—通常是由互联网服务提供商运行的服务器。接着,该请求到达权威服务器来查询域名或者服务器会从缓存中提供该信息。

如果攻击者进入这个过程中,他们可以回复一个流氓IP地址。这会欺骗浏览器去寻找不同服务器的网站;例如攻击者可以制造假的网站来窃取用户的登录信息。

独立安全研究人员Kafeine最近观察到从受感染网站发出的路过式攻击,用户重定向到罕见的基于Web的漏洞利用工具包,该工具包专门用来破坏路由器。

这些漏洞利用工具包通常在地下市场进行销售,由攻击者用来瞄准过时浏览器插件中的漏洞,包括Flash Player、Java、Adobe Reader或Silverlight。其目标是在没有更新软件的计算机上安装恶意软件。

这种攻击通常是这样运作:恶意代码注入到受感染网站或恶意广告中,重定向用户的浏览器到攻击服务器,确定其操作系统、IP地址、地理位置、浏览器类型、已安装的插件和其他详细信息。基于这些信息,服务器然后会从其武器库选择并启动漏洞利用攻击包。

Kafeine观察到的攻击则不痛。谷歌Chrome用户被重定向到恶意服务器,该服务器会加载代码旨在确定这些用户使用的路由器型号,并取代该设备中配置的DNS服务器。

很多用户认为,如果其路由器没有设置进行远程管理,攻击者就无法从互联网利用其Web管理界面的漏洞,因为这种界面只能从本地网络内进行访问。

但并不是这样。这种攻击利用被称为跨站点请求伪造(CSRF)的技术,让恶意网站迫使用户的浏览器在不同的网站执行恶意操作。目标网站可以是路由器的管理界面--只能通过本地网站访问的。

互联网中很多网站已经部署了抵御CSRF的防御措施,但路由器仍然缺乏这种保护。

Kafeine发现的路过式攻击工具包利用CSRF来检测来自不同供应商的40多种路由器型号,这些供应商包括Asustek Computer、Belkin、D-Link、Edimax Technology、Linksys、Medialink、微软、Netgear、深圳吉祥腾达公司、TP-Link Technologies、Netis Systems、Trendnet、ZyXEL Communications和Hootoo。

根据检测到的型号,该攻击工具会利用已知命令注入漏洞或利用共同管理登录凭证来改变路由器的DNS设置。其中也利用了CSRF。

如果该攻击成功的话,路由器的主DNS服务器设置为由攻击者控制的服务器,而次级服务器(用于故障恢复)则设置为谷歌的公共DNS服务器。这样的话,如果恶意服务器临时停机,路由器仍然有完善的DNS服务器来解析查询(+本站微信networkworldweixin),用户也不会怀疑和重新配置该设备。

根据Kafeine表示,这种攻击中利用的漏洞之一影响着来自多个供应商的路由器。有些供应商已经发布了固件更新,但在过去几个月中,更新的路由器数量仍然非常低。

大部分路由器需要手动更新,这个过程可能需要一些专业技能,这也是为什么很多路由器没有更新的原因。

攻击者也知道这一点。事实上,这个漏洞利用工具包瞄准的漏洞还包括2008年和2013年的两个漏洞。

这个攻击似乎已经大规模执行。根据Kafeine表示,在五月的第一周,攻击服务器每天大约有25万访问用户,峰值在5月9号达到100万。其中影响最大的国家是美国、俄罗斯、澳大利亚、巴西和印度。

为了保护自身,用户应该定期检查制造商网站中针对其路由器型号的固件更新,并进行安装。如果路由器允许的话,他们还应该限制管理界面的访问到通常没有设备会使用的IP地址,但在需要更改路由器的设置时他们可以手动分配到其计算机。


作者:邹铮编译


来源:51CTO

相关文章
|
3月前
|
网络安全 网络虚拟化 Windows
遭遇www.6781.com劫持浏览器和Worm.Snake.a等
遭遇www.6781.com劫持浏览器和Worm.Snake.a等
|
3月前
|
Windows
解决浏览器被 http://www.haohao1.com 劫持问题(第2版)
解决浏览器被 http://www.haohao1.com 劫持问题(第2版)
|
3月前
|
安全 Windows
soso313.cn、dao234.com等劫持浏览器,tlntsvi_1547.exe、ydzyh.exe、scvhost.exe等做怪
soso313.cn、dao234.com等劫持浏览器,tlntsvi_1547.exe、ydzyh.exe、scvhost.exe等做怪
|
安全
浏览器基础原理-安全: CSRF攻击
浏览器基础原理-安全: CSRF攻击
92 0
|
存储 编解码 安全
浏览器基础原理-安全: 跨站脚本攻击(XSS)
浏览器基础原理-安全: 跨站脚本攻击(XSS)
60 0
|
Web App开发 安全 Windows
浏览器被劫持(hao123)&暴风激活携带病毒浏览器劫持解决方法
浏览器被劫持(hao123)&暴风激活携带病毒浏览器劫持解决方法
488 0
|
存储 Web App开发 编解码
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
180 0
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
关于 谷歌浏览器主页被劫持的 解决方法
关于 谷歌浏览器主页被劫持的 解决方法
关于 谷歌浏览器主页被劫持的 解决方法
|
存储 安全 网络安全
渗透测试服务之对浏览器开展攻击
这一阶段,就是利用对浏览器的控制,根据当前形势,探寻攻击的可能性。这种攻击有多种形式,包括对浏览器的“本地”攻击,对浏览器所在操作系统的攻击,以及对任意位置远程系统的攻击。仔细阅读,你就会发现,在这个阶段的方法中,绕开了同源策略,走在了前列。为什么会这样?由于这种方法在攻击的每一个步骤中都可以使用,因此它是在其他攻击阶段必须绕过和使用的安全措施。另外一种更明显的情况是,攻击方法中心位置的循环箭头。倒不如说一定会循环进行,重要的是其中一环成功攻击,很可能成为另一环成功攻击的先兆。在这种情况下,这一阶段应该经常权衡利弊,选择哪种方法最有效,哪种方法回报最好。
150 0
渗透测试服务之对浏览器开展攻击