DNSChanger再度來襲 目標(biāo)家用/辦公路由器

責(zé)任編輯:jackye

作者:鄭偉

2016-12-19 09:20:16

摘自:中關(guān)村在線

12月19日消息,據(jù)外媒報(bào)道,安全研究人員發(fā)現(xiàn)曾經(jīng)猖獗一時(shí)的DNSChanger惡意軟件再次被用于發(fā)動(dòng)大規(guī)模惡意攻擊。據(jù)悉,攻擊者通過DNSChanger攻擊包針對(duì)166種家用或小型辦公路由器型號(hào)展開了惡意廣告分發(fā)攻擊。

12月19日消息,據(jù)外媒報(bào)道,安全研究人員發(fā)現(xiàn)曾經(jīng)猖獗一時(shí)的DNSChanger惡意軟件再次被用于發(fā)動(dòng)大規(guī)模惡意攻擊。據(jù)悉,攻擊者通過DNSChanger攻擊包針對(duì)166種家用或小型辦公路由器型號(hào)展開了惡意廣告分發(fā)攻擊。

DNSChanger再度來襲 目標(biāo)家用/辦公路由器

  DNSChanger攻擊再度來襲

最早,DNSChanger是活躍于2007年至2012年的DNS劫持軟件。該惡意軟件由愛沙尼亞一家叫Rove Digital的公司研發(fā),它會(huì)通過修改計(jì)算機(jī)的DNS設(shè)置,指向他們自己的服務(wù)器來感染電腦。通過這種方式,用戶在瀏覽網(wǎng)頁時(shí)便會(huì)被插入廣告。在該軟件鼎盛時(shí)期,大約感染了超過400萬臺(tái)計(jì)算機(jī),并為該公司帶來了至少1400萬美元的非法廣告收入。

然而近日發(fā)現(xiàn)的DNSChanger攻擊包,則不再是針對(duì)瀏覽器,而是鎖定受害者的路由器展開的攻擊。根據(jù)安全機(jī)構(gòu)Proofpoint公布的研究報(bào)告指出,易受攻擊的路由器包括了目前部分主流的路由器品牌如D-Link、Netgear以及一些SOHO品牌如Pirelli、Comtrend等。

DNSChanger攻擊開始于攻擊者在主流網(wǎng)站上購買和放置廣告,這些廣告包含了惡意的JavaScript代碼,可通過觸發(fā)對(duì)Mozilla STUN服務(wù)器(stun.services.mozilla.com)的WebRTC請(qǐng)求來顯示用戶的本地IP地址。一旦攻擊者建立目標(biāo)的本地IP地址,他們會(huì)試圖確定目標(biāo)是否值得攻擊。

DNSChanger再度來襲 目標(biāo)家用/辦公路由器

  DNSChanger攻擊解析

如果值得攻擊,而受害者的路由器又具有可利用之漏洞的話,攻擊者便會(huì)使用已知路由器漏洞來修改路由器的DNS列表。如果沒有已知漏洞,攻擊者便會(huì)利用DNSChanger攻擊嘗試使用默認(rèn)憑證來更改DNS列表,并嘗試從外部地址獲取管理端口以進(jìn)行其他攻擊,包括中間人攻擊、網(wǎng)絡(luò)釣魚、金融欺詐、廣告欺詐等等。

通過攻擊,其目標(biāo)是更改受害者路由器上的DNS列表,進(jìn)而導(dǎo)流一些大型網(wǎng)絡(luò)廣告代理的流量為其賺錢,或使之訪問攻擊者操控的DNS服務(wù)器,展開其他攻擊等等。

那么對(duì)此用戶又該如何進(jìn)行防范呢?建議首先將路由器固件升級(jí)至最新版,之后可以更改路由器上的默認(rèn)本地IP范圍,禁用SOHO路由器上的遠(yuǎn)程管理功能,以及使用廣告攔截瀏覽器加載項(xiàng)等手段進(jìn)行安全防護(hù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)