2018-10-03
超強殭屍釣魚網站肆虐!!
超過 100,000 台路由器遭 GhostDNS 攻擊
文: Cherry Kwok / 新聞中心
文章索引: IT要聞 網路產品 其它

網絡攻擊在近年不斷增加,最新來自 Qihoo 360 Netlab 的安全警告稱一場大規模的網絡攻擊正在肆虐,導致超過 100,000 台路由器的 DNS 設置被劫持,並將用戶重新定向到網絡釣魚網站。

 

據了解,該網絡攻擊被稱為GhostDNS,之前已經有過記錄,安全公司 Radware 的研究人員在8月中旬首次發現。然而 Qihoo 360 Netlab 最新的一份報告中表示,攻擊者在 9 月 20 日之後大幅增加了攻擊,使超過 100,000 台設備遭到破壞,並劫持了超過 50 個網站的流量。

 

攻擊者試圖通過猜測 Web 管理員密碼或通過易受攻擊的 DNS 配置 CGI 腳本(dnscfg.cgi)來控制目標電腦,若果電腦被攻擊者控制,他們會將路由器的默認 DNS伺服器更改為 “rogue”系統。Netlab 360補充說,除了重新定向受害者的默認 DNS 之外,GhostDNS 攻擊還使用三個作為 Shell、JavaScript 程式或 Python 程式運行的 DNSChanger 變種,並由 DNSChanger、網絡釣魚 Web、Web 管理、Rogue DNS 四部分組成。

 

GhostDNS

 

GhostDNS 攻擊的第一個模組 Shell DNSChanger 是採用 Shell 編寫,它是 25 個 Shell 腳本的組合,可以強制使用 21 個路由器或固件包的密碼,Netlab 研究人員稱 “Shell DNSChanger 模組只是屬輕微,而且攻擊者只可進行有限度的攻擊部署得。”

 

第二個模組 Js DNSChanger 是用 JavaScript 編寫,只是 10 個 JS 腳本的集合,可以強制使用六個路由器或固件包的密碼。這個僅部署在已經受到攻擊的路由器上,用於掃描和暴力破解內部網絡上的其他路由器和設備。

 

第三個模組 PyPhp DNSChanger是用 Python 和 PHP 組合編寫,並且是三者中最有效的。Netlab 表示,該模組已經部署在 100 多個 Google 雲端伺服器上,攻擊者不斷掃描互聯網以識別易受攻擊的路由器。該組使用69個攻擊腳本,可以強制執行 47 個不同路由器和固件包的密碼。

 

Netlab的研究人員表示,他們已經設法訪問了第三個模組的管理區域,他們發現僅 PyPhp DNSChanger 已經感染了 62,000 多個路由器。由於很多用戶使用默認的用戶名和密碼,使他們更容易受到攻擊,一旦犯罪分子能夠登錄,他們就會更改路由器的 DNS 伺服器地址。

 

網絡安全實驗室 Qihoo 360 Netlab 發現的當前攻擊影響了 70 多種不同的路由器,部份型號如下:

 

.3COM OCR-812

.AP-ROUTER

.D-LINK

.D-LINK DSL-2640T

.D-LINK DSL-2740R

.D-LINK DSL-500

.D-LINK DSL-500G/DSL-502G

.Huawei SmartAX MT880a

.Intelbras WRN240-1

.Kaiomy Router

.MikroTiK Routers

.OIWTECH OIW-2415CPE

.Ralink Routers

.SpeedStream

.SpeedTouch

.Tenda

.TP-LINK TD-W8901G/TD-W8961ND/TD-8816

.TP-LINK TD-W8960N

.TP-LINK TL-WR740N

.TRIZ TZ5500E/VIKING

.VIKING/DSLINK 200 U/E

 

GhostDNS

 

此外,攻擊還可以繞過某些路由器的身份驗證過程並更改 DNS 設置的漏洞。這種特殊漏洞利用 ( 稱為 dnscfg.cgi 漏洞 ) 已於 2015 年 2 月在巴西以類似方式被利用,也用於更改 DNS 設置並將巴西銀行用戶重定向到網絡釣魚站點。

 

現階段總共有超過100,000台路由器受到攻擊的影響,其中大多數路由器位於巴西。一旦用戶瀏覽到特定網站,他們就會被重定向到網絡釣魚站點。這些包括網上銀行網站,還包括 Netflix 和託管公司。

 

為了預防受到網絡攻擊,用家請再次確保使用中的路由器固件是最新的版本,同時禁用 External WAN Access,並更改使用中的默認密碼,以確保安全。

 

GhostDNS

發表評論