大規(guī)模攻擊利用瀏覽器劫持路由器

責(zé)任編輯:editor006

作者:鄒錚編譯

2015-05-29 21:12:17

摘自:網(wǎng)界網(wǎng)

網(wǎng)絡(luò)罪犯開發(fā)了一種基于Web的攻擊工具,當(dāng)用戶訪問受感染網(wǎng)站或查看惡意廣告時(shí),該工具將大規(guī)模劫持路由器。根據(jù)檢測到的型號,該攻擊工具會(huì)利用已知命令注入漏洞或利用共同管理登錄憑證來改變路由器的DNS設(shè)置。

網(wǎng)絡(luò)罪犯開發(fā)了一種基于Web的攻擊工具,當(dāng)用戶訪問受感染網(wǎng)站或查看惡意廣告時(shí),該工具將大規(guī)模劫持路由器。

大規(guī)模攻擊利用瀏覽器劫持路由器

這種攻擊的目標(biāo)是使用攻擊者控制的流氓服務(wù)器來取代路由器中配置的DNS(域名系統(tǒng))服務(wù)器,這讓攻擊者可以攔截流量、欺騙網(wǎng)站、劫持搜索查詢、注入惡意廣告到網(wǎng)頁等。

DNS就像是互聯(lián)網(wǎng)的電話簿,它發(fā)揮著關(guān)鍵作用。它將域名(方便用戶記住)轉(zhuǎn)換成數(shù)字IP(互聯(lián)網(wǎng)協(xié)議)地址,讓計(jì)算機(jī)可互相通信。

DNS以分級的方式運(yùn)作。當(dāng)用戶在瀏覽器中輸入網(wǎng)站的名稱,瀏覽器會(huì)向操作系統(tǒng)請求該網(wǎng)站的IP地址。然后操作系統(tǒng)會(huì)詢問本地路由器,查詢其中配置的DNS服務(wù)器—通常是由互聯(lián)網(wǎng)服務(wù)提供商運(yùn)行的服務(wù)器。接著,該請求到達(dá)權(quán)威服務(wù)器來查詢域名或者服務(wù)器會(huì)從緩存中提供該信息。

如果攻擊者進(jìn)入這個(gè)過程中,他們可以回復(fù)一個(gè)流氓IP地址。這會(huì)欺騙瀏覽器去尋找不同服務(wù)器的網(wǎng)站;例如攻擊者可以制造假的網(wǎng)站來竊取用戶的登錄信息。

獨(dú)立安全研究人員Kafeine最近觀察到從受感染網(wǎng)站發(fā)出的路過式攻擊,用戶重定向到罕見的基于Web的漏洞利用工具包,該工具包專門用來破壞路由器。

這些漏洞利用工具包通常在地下市場進(jìn)行銷售,由攻擊者用來瞄準(zhǔn)過時(shí)瀏覽器插件中的漏洞,包括Flash Player、Java、Adobe Reader或Silverlight。其目標(biāo)是在沒有更新軟件的計(jì)算機(jī)上安裝惡意軟件。

這種攻擊通常是這樣運(yùn)作:惡意代碼注入到受感染網(wǎng)站或惡意廣告中,重定向用戶的瀏覽器到攻擊服務(wù)器,確定其操作系統(tǒng)、IP地址、地理位置、瀏覽器類型、已安裝的插件和其他詳細(xì)信息。基于這些信息,服務(wù)器然后會(huì)從其武器庫選擇并啟動(dòng)漏洞利用攻擊包。

Kafeine觀察到的攻擊則不痛。谷歌Chrome用戶被重定向到惡意服務(wù)器,該服務(wù)器會(huì)加載代碼旨在確定這些用戶使用的路由器型號,并取代該設(shè)備中配置的DNS服務(wù)器。

很多用戶認(rèn)為,如果其路由器沒有設(shè)置進(jìn)行遠(yuǎn)程管理,攻擊者就無法從互聯(lián)網(wǎng)利用其Web管理界面的漏洞,因?yàn)檫@種界面只能從本地網(wǎng)絡(luò)內(nèi)進(jìn)行訪問。

但并不是這樣。這種攻擊利用被稱為跨站點(diǎn)請求偽造(CSRF)的技術(shù),讓惡意網(wǎng)站迫使用戶的瀏覽器在不同的網(wǎng)站執(zhí)行惡意操作。目標(biāo)網(wǎng)站可以是路由器的管理界面--只能通過本地網(wǎng)站訪問的。

互聯(lián)網(wǎng)中很多網(wǎng)站已經(jīng)部署了抵御CSRF的防御措施,但路由器仍然缺乏這種保護(hù)。

Kafeine發(fā)現(xiàn)的路過式攻擊工具包利用CSRF來檢測來自不同供應(yīng)商的40多種路由器型號,這些供應(yīng)商包括Asustek Computer、Belkin、D-Link、Edimax Technology、Linksys、Medialink、微軟、Netgear、深圳吉祥騰達(dá)公司、TP-Link Technologies、Netis Systems、Trendnet、ZyXEL Communications和Hootoo。

根據(jù)檢測到的型號,該攻擊工具會(huì)利用已知命令注入漏洞或利用共同管理登錄憑證來改變路由器的DNS設(shè)置。其中也利用了CSRF。

如果該攻擊成功的話,路由器的主DNS服務(wù)器設(shè)置為由攻擊者控制的服務(wù)器,而次級服務(wù)器(用于故障恢復(fù))則設(shè)置為谷歌的公共DNS服務(wù)器。這樣的話,如果惡意服務(wù)器臨時(shí)停機(jī),路由器仍然有完善的DNS服務(wù)器來解析查詢(+本站微信networkworldweixin),用戶也不會(huì)懷疑和重新配置該設(shè)備。

根據(jù)Kafeine表示,這種攻擊中利用的漏洞之一影響著來自多個(gè)供應(yīng)商的路由器。有些供應(yīng)商已經(jīng)發(fā)布了固件更新,但在過去幾個(gè)月中,更新的路由器數(shù)量仍然非常低。

大部分路由器需要手動(dòng)更新,這個(gè)過程可能需要一些專業(yè)技能,這也是為什么很多路由器沒有更新的原因。

攻擊者也知道這一點(diǎn)。事實(shí)上,這個(gè)漏洞利用工具包瞄準(zhǔn)的漏洞還包括2008年和2013年的兩個(gè)漏洞。

這個(gè)攻擊似乎已經(jīng)大規(guī)模執(zhí)行。根據(jù)Kafeine表示,在五月的第一周,攻擊服務(wù)器每天大約有25萬訪問用戶,峰值在5月9號達(dá)到100萬。其中影響最大的國家是美國、俄羅斯、澳大利亞、巴西和印度。

為了保護(hù)自身,用戶應(yīng)該定期檢查制造商網(wǎng)站中針對其路由器型號的固件更新,并進(jìn)行安裝。如果路由器允許的話,他們還應(yīng)該限制管理界面的訪問到通常沒有設(shè)備會(huì)使用的IP地址,但在需要更改路由器的設(shè)置時(shí)他們可以手動(dòng)分配到其計(jì)算機(jī)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號