DNSChanger路由器DNS劫持木马 新版本正在攻击家庭及小企业路由器 企图推送广告

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介:

Proofpoint公司安全人员表示,近期攻击者利用DNSChanger的更新版本发起攻击,试图感染家庭或小型办公室(SOHO)的路由器。攻击者显示虚假广告,利用JavaScript代码从PNG文件中提取HTML代码,将受害者重定向至DNSChanger的登录页面。然后尝试侦测当前路由器的型号及漏洞,并尝试入侵路由器修改DNS配置。

DNSChanger是什么

DNSChanger 是 DNS 劫持木马,从 2007 年开始到 2012 年都在网络活跃。一个曾经的例子,一家爱沙尼亚的公司Rove Digital,通过使用恶意软件感染电脑,用户修改计算机的 DNS 条目指向它自己的流氓域名服务器,然后把广告注入到 Web 页面。在其鼎盛时期,DNSChanger 估计有感染超过 400 万台电脑,带来的欺诈广告收入至少 达到1400 万美元的利润。

此次更新版本的DNSChanger攻击过程

攻击始于合法网站上的一个恶意广告。该广告通过合法广告代理商秘密传播。该恶意广告以桌面和移动用户为攻击目标,向DNSChanger漏洞攻击包发送流量。DNSChanger EK通过webRTC方式向STUN服务器发送请求,并确定攻击目标的本地IP地址。这是因为攻击仅在该IP地址尚不可知或在攻击范围内时实施,否则受害者将被定向至第三方广告代理商的合法广告。

如果满足所需条件,将显示虚假广告,利用JavaScript代码从PNG文件中提取HTML代码,将受害者重定向至DNSChanger的登陆页面。漏洞攻击包再次检查IP地址,加载多个功能以及通过隐写术隐藏在一个小图片中的AES密钥。然后,浏览器定位并识别网络中使用的路由器。

侦查阶段检测出的路由器型号决定了攻击的实施,因为如果这一路由器型号没有可供利用的漏洞,漏洞攻击包将尝试利用默认凭证。若路由器型号可用于发起攻击,漏洞攻击包将尝试在路由器上修改DNS配置,如果可能的话,将向外部地址提供管理端口,置路由器于其他攻击之下。

安全研究人员称,此次攻击的主要目的是从Propellerads、Popcash、Taboola、OutBrain和AdSuppy等主流网络广告代理商处窃取流量。

一旦用户的路由器被入侵,其设备、操作系统或使用的浏览器都会受到恶意广告的影响。同时,安全研究人员表示,路由器上出现了数轮攻击,这些攻击可能跟已持续数日且目前仍正在上演的恶意广告活动有关联。此外,这些攻击似乎还与2015年上半年出现的跨站请求伪造(CSRF)网址嫁接操作相关。

此次更新版本的DNSChanger攻击有向移动端蔓延的趋势

与之前攻击相比,这些新活动有了改进,如对外部地址进行外部DNS解析。此外,攻击者也利用隐写术,隐藏AES密钥。AES密钥用于解密指纹列表/默认凭证、本地解析、以及发送用于攻击路由器的命令的布局。

安全研究人员解释道,此类活动所利用的指纹从去年的55个增至目前的166个。其中,有些指纹用于数个路由器型号。此外,恶意广告链目前正向安卓设备蔓延。除此之外,Proofpoint表示,还发现漏洞攻击包更改了网络规则,使外部地址能够访问管理端口,为其他攻击(包括Mirai僵尸网络)的实施敞开了大门。

如何防止路由器被劫持 Proofpoint专家建议禁用路由器的Web服务 包括远程管理

同时,Proofpoint研究人员表示,无法一一列举受影响的路由器,

“对终端用户来说,最安全的方法就是确保所有已知漏洞均已包含在此类漏洞攻击包中。因此,所有路由器应升级至最新固件版本。”

目前,最新发现的受影响的路由器型号包括D-Link DSL-2740R、COMTREND ADSL Router CT-5367 C01_R12、NetGear WNDR3400v3(此系列的其他型号也可能面临被攻击的风险)、Pirelli ADSL2/2+无线路由器P.DGA4001N和Netgear R6200。

直到最近才披露了Netgear R7000、R6400和其他路由器中存在的零日漏洞,Netgear已开始安装补丁修复此漏洞。然而,Proofpoint表示,截至2016年12月12日,并未在DNSChanger上发现与这些路由器型号相关的指纹。即便如此,仍然建议用户在受影响的Netgear路由器上禁用Web服务器,因为这些指纹可能稍后就会用于发起攻击。

安全研究人员称,“很多情况下,只在SOHO路由器上禁用远程管理即可提升安全性。不过,此次攻击中,攻击者利用了网络设备的有线或无线连接。这样,即使远程管理未开启,攻击者也能成功修改路由器设置。”同时,他们表示,对于此类攻击来说,浏览器的广告拦截插件可提供一层额外防护。



原文发布时间: 2017年3月24日
本文由:securityWeek 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/dnschanger-router-dns-hijack-trojan-attacking-router
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
相关文章
|
2月前
|
网络协议 安全 网络安全
DNS放大攻击
【8月更文挑战第20天】
100 1
|
4月前
|
弹性计算 负载均衡 监控
防御DDoS攻击:策略与技术深度解析
【6月更文挑战第12天】本文深入探讨了防御DDoS攻击的策略和技术。DDoS攻击通过僵尸网络耗尽目标系统资源,特点是分布式、高流量和隐蔽性。防御策略包括监控预警、流量清洗、负载均衡、弹性伸缩及灾备恢复。技术手段涉及IP信誉系统、深度包检测、行为分析、流量镜像与回放及云防护服务。综合运用这些方法能有效提升抗DDoS攻击能力,保障网络安全。
|
5月前
|
网络协议 物联网 网络安全
|
5月前
|
域名解析 监控 网络协议
【域名解析DNS专栏】DNS域名劫持与防范策略:保护你的域名安全
【5月更文挑战第26天】DNS域名劫持是网络攻击手法,攻击者篡改DNS记录,将用户导向恶意网站,威胁隐私泄露、数据窃取及品牌信誉。防范策略包括使用DNSSEC加密验证响应,选择安全的DNS服务提供商,定期检查DNS记录,以及教育员工和用户识别网络威胁。通过这些措施,可以增强域名安全,抵御DNS劫持攻击。
311 0
|
2月前
|
SQL 安全 网络安全
【惊心动魄】揭秘网络暗黑势力!全面解析网站安全攻击手段及防御秘籍,助你构筑坚不可摧的数字堡垒!
【8月更文挑战第13天】随着互联网发展,网站成为信息和服务的关键渠道,但也面临黑客攻击的风险。本文介绍几种常见攻击及其防御方法:SQL注入可通过参数化查询预防;XSS攻击需对数据严格过滤和编码;CSRF攻击则需使用唯一令牌验证;文件上传漏洞应限制文件类型并验证;DDoS攻击可借助CDN和防火墙缓解。维护网站安全需持续监控和更新防护策略。
66 11
|
2月前
|
JSON 数据管理 关系型数据库
【Dataphin V3.9】颠覆你的数据管理体验!API数据源接入与集成优化,如何让企业轻松驾驭海量异构数据,实现数据价值最大化?全面解析、实战案例、专业指导,带你解锁数据整合新技能!
【8月更文挑战第15天】随着大数据技术的发展,企业对数据处理的需求不断增长。Dataphin V3.9 版本提供更灵活的数据源接入和高效 API 集成能力,支持 MySQL、Oracle、Hive 等多种数据源,增强 RESTful 和 SOAP API 支持,简化外部数据服务集成。例如,可轻松从 RESTful API 获取销售数据并存储分析。此外,Dataphin V3.9 还提供数据同步工具和丰富的数据治理功能,确保数据质量和一致性,助力企业最大化数据价值。
122 1
|
2月前
|
网络协议 安全 API
家用路由器DNS被恶意篡改?教你如何应对
近期大量用户反馈家用路由器出现解析失效,怀疑部分家用路由器的DNS配置遭遇了非正常变动。我们建议家用路由器用户将本地DNS改成更安全可靠的服务器,如阿里云公共DNS;企业APP终端用户使用公共DNS企业版服务。
|
2月前
|
人工智能 搜索推荐 数据管理
2024年CRM系统全景:领先品牌的深度解析与企业选择指南
在数字化转型的大潮中,CRM系统已成为企业不可或缺的工具,助力企业在客户管理、销售提升、市场策略优化及客户满意度提高等方面取得显著成效。预计2024年全球CRM市场规模将达到数千亿美元,展现出强劲的增长势头。本文将探讨CRM市场的最新趋势,包括人工智能与自动化融合、移动化及多平台支持、以及数据安全与隐私保护的重要性。同时,深度剖析2024年领先的CRM品牌,如中国本土领军者销售易,以及国际巨头Salesforce、HubSpot、Zoho CRM和微软Dynamics 365等,并为企业提供实用的选择指南,帮助企业明确需求、考虑系统扩展性、关注用户体验、评估总体成本并选择可信赖的供应商
|
4月前
|
域名解析 存储 缓存
HTTP请求流程概览:浏览器构建请求行含方法、URL和版本;检查缓存;解析IP与端口
【6月更文挑战第23天】 HTTP请求流程概览:浏览器构建请求行含方法、URL和版本;检查缓存;解析IP与端口;TCP连接(HTTP/1.1可能需排队);三次握手;发送请求头与体;服务器处理并返回响应;TCP连接可能关闭或保持;浏览器接收并显示响应,更新缓存。HTTP版本间有差异。
69 5
|
4月前
|
存储 缓存 负载均衡
CC攻击解析与防御策略
CC攻击是DDoS的一种,利用代理服务器向目标发送大量合法请求,消耗服务器资源。识别特征包括命令行大量"SYN_RECEIVED"连接、IP批量异常连接和日志中异常访问模式。防御策略包括提升服务器性能、数据缓存优化、页面静态化、请求速率限制、IP访问限制及使用CDN。专业高防产品提供智能识别和响应,帮助企业构建全面防御体系。
331 2

相关产品

  • 云解析DNS
  • 推荐镜像

    更多