首页
论坛
专栏
课程

GhostDNS劫持10万台路由器

Editor 发布于 看雪学院 2018-10-04 18:53

安全公司Netlab的安全研究人员曝光一款恶意软件,该恶意软件已经占领了巴西大量的互联网路由器,并正在向主要金融机构收集用户登录数据。


Netlab的研究显示,在南美洲,互联网路由器普遍受到感染,并对毫无戒心的互联网用户进行了大规模的网络钓鱼攻击。令人震惊的100,000台路由器被恶意代码劫持,目前正在将流量重定向到网络钓鱼站点:模仿各大银行、电信公司、互联网服务提供商、媒体网,甚至Netflix的登录页。


恶意软件已被Netlab命名为GhostDNS,它由复杂的攻击脚本组合而成。这些脚本劫持路由器设置,用替代DNS服务替换它们,然后将流量引导至主要在线服务的“克隆”登录页面。 


DNS重定向服务称为Rouge,甚至可以在亚马逊、OVH、谷歌、Telefonica和Oracle等众多著名的云托管服务上运行。该网络自今年6月中旬以来一直在运行网络钓鱼计划, Netlab正在跟踪感染的进展及其内部运作,并一直与服务提供商联系以关闭网络。


Netlab提供了攻击如何运作的详细图表:



(来源: NetLab)


GhostDNS系统由四部分组成:DNSChanger模块,网络钓鱼Web模块,Web管理模块(它扫描互联网上的易受攻击的设备),Rogue DNS模块(是一个DNS服务器网络,然后重定向到网络钓鱼服务器)。


DNSChanger模块是GhostDNS的主要模块,负责信息的收集和利用。攻击者使用三个DNSChanger子模块对互联网和内联网网络上的路由器进行攻击。


该模块共包含100多个攻击脚本,影响70多种不同的路由器。


三个DNSChanger子模块:



Netlab声称有效载荷是通过远程访问漏洞提供的,这些路由器的DNS受到劫持。一旦用户的路由器被黑客入侵,HTTP请求被恶意重定向到克隆的登录页面,通常无害的银行之旅就会变成网络钓鱼噩梦,收集用户数据。


虽然绝大多数受感染的路由器位于巴西(占所有感染的87.8%),并且网络钓鱼明显针对巴西公司,但它也遍布整个南美洲,并且超过100,000个受感染的路由器。 Netlab正在与主要服务提供商合作,以修补他们的漏洞并关闭将用户推向网络钓鱼站点的恶意DNS重定向服务器。



(来源: NetLab)


Spamhaus.com将巴西评为全球僵尸网络感染排名第三位,共有756,420个受感染设备,仅次于印度(1,485,933次感染)和中国(感染1,666,901次)。


(来源:spamhaus——十大僵尸网络国家)



受感染IP地址的国家/地区列表:




以下是受感染路由器的网页标题列表:




安全公司Netlab,建议宽带用户更新其路由器系统,检查路由器的默认DNS服务器是否已更改,并为路由器Web门户设置更复杂的密码。还建议路由器厂商增加路由器默认密码的复杂性,并增强其产品的系统安全更新机制。



参考来源:

  • ptsecurity



- End -



书籍推荐:


《加密与解密》

是一本逆向必读书籍。本书以软件逆向为切入点,讲述了软件安全领域相关的基础知识和技能,可以说是安全人士必读书籍之一了。


看雪推荐“解密”前的过渡书籍:

基普·欧文的《汇编语言:基于x86处理器》

王爽的《汇编语言》

Charles Petzold著的《Windows程序设计》(以VC来讲解)


长按识别二维码,即可购买以上书籍




更多阅读:



分享到:
最新评论 (0)
登录后即可评论