DNSChanger路由器DNS劫持木马 新版本正在攻击家庭及小企业路由器 企图推送广告

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

Proofpoint公司安全人员表示,近期攻击者利用DNSChanger的更新版本发起攻击,试图感染家庭或小型办公室(SOHO)的路由器。攻击者显示虚假广告,利用JavaScript代码从PNG文件中提取HTML代码,将受害者重定向至DNSChanger的登录页面。然后尝试侦测当前路由器的型号及漏洞,并尝试入侵路由器修改DNS配置。

DNSChanger是什么

DNSChanger 是 DNS 劫持木马,从 2007 年开始到 2012 年都在网络活跃。一个曾经的例子,一家爱沙尼亚的公司Rove Digital,通过使用恶意软件感染电脑,用户修改计算机的 DNS 条目指向它自己的流氓域名服务器,然后把广告注入到 Web 页面。在其鼎盛时期,DNSChanger 估计有感染超过 400 万台电脑,带来的欺诈广告收入至少 达到1400 万美元的利润。

此次更新版本的DNSChanger攻击过程

攻击始于合法网站上的一个恶意广告。该广告通过合法广告代理商秘密传播。该恶意广告以桌面和移动用户为攻击目标,向DNSChanger漏洞攻击包发送流量。DNSChanger EK通过webRTC方式向STUN服务器发送请求,并确定攻击目标的本地IP地址。这是因为攻击仅在该IP地址尚不可知或在攻击范围内时实施,否则受害者将被定向至第三方广告代理商的合法广告。

如果满足所需条件,将显示虚假广告,利用JavaScript代码从PNG文件中提取HTML代码,将受害者重定向至DNSChanger的登陆页面。漏洞攻击包再次检查IP地址,加载多个功能以及通过隐写术隐藏在一个小图片中的AES密钥。然后,浏览器定位并识别网络中使用的路由器。

侦查阶段检测出的路由器型号决定了攻击的实施,因为如果这一路由器型号没有可供利用的漏洞,漏洞攻击包将尝试利用默认凭证。若路由器型号可用于发起攻击,漏洞攻击包将尝试在路由器上修改DNS配置,如果可能的话,将向外部地址提供管理端口,置路由器于其他攻击之下。

安全研究人员称,此次攻击的主要目的是从Propellerads、Popcash、Taboola、OutBrain和AdSuppy等主流网络广告代理商处窃取流量。

一旦用户的路由器被入侵,其设备、操作系统或使用的浏览器都会受到恶意广告的影响。同时,安全研究人员表示,路由器上出现了数轮攻击,这些攻击可能跟已持续数日且目前仍正在上演的恶意广告活动有关联。此外,这些攻击似乎还与2015年上半年出现的跨站请求伪造(CSRF)网址嫁接操作相关。

此次更新版本的DNSChanger攻击有向移动端蔓延的趋势

与之前攻击相比,这些新活动有了改进,如对外部地址进行外部DNS解析。此外,攻击者也利用隐写术,隐藏AES密钥。AES密钥用于解密指纹列表/默认凭证、本地解析、以及发送用于攻击路由器的命令的布局。

安全研究人员解释道,此类活动所利用的指纹从去年的55个增至目前的166个。其中,有些指纹用于数个路由器型号。此外,恶意广告链目前正向安卓设备蔓延。除此之外,Proofpoint表示,还发现漏洞攻击包更改了网络规则,使外部地址能够访问管理端口,为其他攻击(包括Mirai僵尸网络)的实施敞开了大门。

如何防止路由器被劫持 Proofpoint专家建议禁用路由器的Web服务 包括远程管理

同时,Proofpoint研究人员表示,无法一一列举受影响的路由器,

“对终端用户来说,最安全的方法就是确保所有已知漏洞均已包含在此类漏洞攻击包中。因此,所有路由器应升级至最新固件版本。”

目前,最新发现的受影响的路由器型号包括D-Link DSL-2740R、COMTREND ADSL Router CT-5367 C01_R12、NetGear WNDR3400v3(此系列的其他型号也可能面临被攻击的风险)、Pirelli ADSL2/2+无线路由器P.DGA4001N和Netgear R6200。

直到最近才披露了Netgear R7000、R6400和其他路由器中存在的零日漏洞,Netgear已开始安装补丁修复此漏洞。然而,Proofpoint表示,截至2016年12月12日,并未在DNSChanger上发现与这些路由器型号相关的指纹。即便如此,仍然建议用户在受影响的Netgear路由器上禁用Web服务器,因为这些指纹可能稍后就会用于发起攻击。

安全研究人员称,“很多情况下,只在SOHO路由器上禁用远程管理即可提升安全性。不过,此次攻击中,攻击者利用了网络设备的有线或无线连接。这样,即使远程管理未开启,攻击者也能成功修改路由器设置。”同时,他们表示,对于此类攻击来说,浏览器的广告拦截插件可提供一层额外防护。



原文发布时间: 2017年3月24日
本文由:securityWeek 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/dnschanger-router-dns-hijack-trojan-attacking-router
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
目录
打赏
0
0
0
0
192
分享
相关文章
企业销售管理利器:销售易、飞鱼和800客CRM深度解析
- **销售易**:集营销、销售和服务于一体,提供全渠道获客、潜客识别、线索转化等功能,适合中大型企业,尤其适用于快消品、汽车等行业。 - **飞鱼**:由巨量引擎推出,专注于广告主的销售线索管理,实现自动获取、同步及跟进,适合各类规模企业,广泛应用于电商、金融等领域。 - **800客**:功能全面,涵盖市场、客户、销售、服务等管理模块,适合中小型到大型企业,提供定制化服务,满足个性化需求。 通过对比各产品的功能与适用场景,企业可根据自身需求选择最合适的CRM解决方案,以优化销售流程并深化客户关系。
企业内网监控系统中基于哈希表的 C# 算法解析
在企业内网监控系统中,哈希表作为一种高效的数据结构,能够快速处理大量网络连接和用户操作记录,确保网络安全与效率。通过C#代码示例展示了如何使用哈希表存储和管理用户的登录时间、访问IP及操作行为等信息,实现快速的查找、插入和删除操作。哈希表的应用显著提升了系统的实时性和准确性,尽管存在哈希冲突等问题,但通过合理设计哈希函数和冲突解决策略,可以确保系统稳定运行,为企业提供有力的安全保障。
CRM系统解析:企业高效管理与未来发展的关键
在全球化和技术快速变革的背景下,客户关系管理(CRM)系统已成为企业不可或缺的战略工具。本指南将深入剖析CRM系统的选型、应用及其对企业未来发展的重要影响。
54 5
2024年最佳CRM深度解析:企业用户首选
在数字化转型的大潮中,CRM系统成为企业提升竞争力、优化客户体验的关键工具。本文深入解析2024年市场上表现最佳的10款CRM系统,涵盖品牌介绍、产品功能及优势特色,为企业提供全面的选型指南。从销售易的行业领先技术,到天衣云的高效管理功能,再到悟空CRM的全球认可,每款产品均针对不同企业需求提供了独特的解决方案。文章还详细探讨了挑选适合企业的CRM系统时应考虑的关键因素,包括业务需求明确、系统功能评估、技术要求考量、成本效益分析、用户体验与培训、供应商信誉及试用演示的重要性。随着技术的发展,未来的CRM系统将更加智能化、集成化,助力企业实现数字化转型。
如何防止DNS缓存中毒攻击(一)
DNS缓存中毒也称为DNS欺骗
75 10
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
75 5
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
197 3
云原生技术深度解析:重塑企业IT架构的未来####
本文深入探讨了云原生技术的核心理念、关键技术组件及其对企业IT架构转型的深远影响。通过剖析Kubernetes、微服务、容器化等核心技术,本文揭示了云原生如何提升应用的灵活性、可扩展性和可维护性,助力企业在数字化转型中保持领先地位。 ####
什么是DNS劫持攻击以及如何避免此类攻击
【10月更文挑战第28天】DNS劫持攻击是一种网络攻击方式,攻击者通过篡改用户的DNS设置,将合法网站的域名解析为恶意网站的IP地址,使用户在不知情的情况下访问钓鱼网站。攻击手段包括在用户系统植入恶意软件、利用路由器漏洞或破解DNS通信等。为防止此类攻击,应使用安全软件、定期检查DNS设置、重置路由器密码及避免访问不安全的网站。
394 2
|
3月前
|
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
118 2

相关产品

  • 云解析DNS
  • 推荐镜像

    更多
    AI助理

    你好,我是AI助理

    可以解答问题、推荐解决方案等