DNS變更惡意軟體進入家用路由器

家用路由器可以被用來竊取使用者的認證憑據,只是大多數人並不知道。壞蛋們已經找到方法來用網域名稱系統(DNS)變更惡意軟體來將最不受注意的網路路由器變成他們惡意計畫裡的重要工具。

有路由器會在出貨時帶有惡意DNS伺服器設定。在這次的情況裡,惡意軟體被用來篡改路由器和其DNS設定。當使用者想連上正常的銀行網站或其他壞人設定的網頁時,惡意軟體會將使用者導到惡意版本的網頁。這讓網路犯罪分子可以竊取使用者的帳號認證憑據和密碼等資訊。

越來越多的相關惡意網站出現在巴西(佔了近88%的感染數量)、美國和日本。這些網站會在內部網路執行瀏覽器腳本來對受害者的路由器進行暴力攻擊。再藉由正確認證憑據連上管理界面,該腳本發送帶有惡意DNS伺服器IP地址的HTTP請求到路由器。一旦惡意版本設定替換掉目前的IP地址就完成了感染。除了瀏覽器暫存檔外,沒有檔案會在受害者電腦上建立,不需要使用持續性技術,沒有改變什麼。

修改DNS設定代表使用者不知道他們所要連上的是可信網站的山寨版。不變更預設密碼的使用者很容易遭受此類攻擊。

 

路由器 DNS惡意軟體使用暴力攻擊

DNS是轉換IP地址跟網路名稱的網際網路標準。就像是電話簿一樣將人性化的主機名稱轉換成電腦接受的IP地址。網路犯罪分子建立DNS變更惡意軟體來修改系統的DNS設定。我們在2011年就討論過DNS變更惡意軟體,當時的惡意軟體感染了400多萬台電腦來加入Esthost殭屍網路。我們參與了Ghost Click行動將這殭屍網路給剷除。

網民們通常將 DNS的運作認為是理所當然的,因為通常是由他們的ISP所分配。而且因為DNS通常會如預期地工作,所以就沒有理由懷疑。

DNS設定就像是路標一樣,可以指示你的瀏覽器要去哪裡。一旦感染了DNS變更惡意軟體,「路標」可能會在你沒注意下被偷換掉。現在即使你遵守適當的安全實作,輸入正確的銀行網站網址,使用超級安全的密碼登入,甚至在做完事後登出,如果惡意軟體成功地在你完成交易前進行重新導向,你的資料被竊的機率就會很大。

DNS設定就像是路標一樣,可以指示你的瀏覽器要去哪裡。一旦感染了DNS變更惡意軟體,「路標」可能會在你沒注意下被偷換掉。
DNS設定就像是路標一樣,可以指示你的瀏覽器要去哪裡。一旦感染了DNS變更惡意軟體,「路標」可能會在你沒注意下被偷換掉。

雖然這類惡意軟體並非新聞,我們在巴西看到越來越多帶有連結的釣魚攻擊。這些被用作惡意腳本的入口,被我們偵測為HTML_DNSCHA,會執行來自內部網路對路由器的暴力攻擊。這代表當使用者的瀏覽器執行惡意腳本,從網路角度來看,管理員看到這個對路由器發出的DNS變更請求來自使用者電腦,所以只會看到內部網路流量。因此,如果管理員在防火牆/路由器日誌尋找外部攻擊並不會找到任何東西。

暴力攻擊仍然可以成功的原因是路由器使用者還是都不建立路由器密碼或使用大眾品牌路由器的預設密碼,而這些密碼都可以在網路上找到。

能夠存取路由器的管理界面後,該腳本發送一個帶有惡意DNS伺服器IP地址的HTTP請求到路由器以取代目前的設定,這是網路犯罪分子所唯一需要對路由器做的事情。除了瀏覽器暫存檔案外,沒有在受害者電腦上新增其他檔案,不需要利用持續性技術,沒有線索可以讓使用者知道已經發生了變化。

事實上,受害者可以去到任何他想去的網站。然而,如果受害者想連到網路犯罪分子所感興趣的網站,讓我們用之前的銀行網站例子,受害人實際看到的是原始網站的山寨版,這山寨版被精心設計來騙取受害者的用戶憑據。

不用說,不變更路由器預設密碼的使用者很容易會受到此類攻擊。

趨勢科技所研究的一個樣本會擷取受害者的外部IP地址。做到這點的程式碼顯示在下面的截圖:

 

圖1、上面的程式碼顯示受害者的IP地址如何被截取

 

該腳本會試著猜測路由器IP地址和管理認證憑據。單一腳本支援了不同設備型號。這個樣本針對了D-Link和TPLINK的ADSL路由器,這兩者都在巴西很常見。下圖顯示負責暴力破解的程式碼:

 

圖2、上面的程式碼顯示暴力破解程序

 

該腳本會試著用Class A和Class C的IP地址和外部(公共)IP來連到路由器。很容易就可以看出這類攻擊利用了路由器的預設值。

 

受害者檔案

 

如前所述,大多數受到此威脅影響的路由器集中在巴西。下圖數據顯示被DNS重新導向網址的數目。

 

圖3、受影響路由器大部分來自巴西

 

趨勢科技注意到一些重新導向的網站可以接受行動設備。這代表一旦路由器的DNS設定被變更,路由器網路中的所有設備都會受到攻擊,包括行動設備。

這種攻擊不限於網路銀行詐騙。這攻擊對物聯網(IOT)或智慧型設備來說尤為危險,因為網路犯罪分子可以輕易地變更這些設備用來認證/反饋的網站DNS名稱,並且竊取使用者認證憑據。

 

最佳實作

 

要防止這類攻擊和其他針對路由器的攻擊,我們強烈建議使用者如下設定路由器:

 

  • 所有的使用者帳號使用強密碼。
  • 使用不同的IP地址而非預設值。
  • 禁用遠端管理功能。

 

可以定期檢視路由器的DNS設定並注意需要身分認證的網站(像電子郵件服務、網路銀行等)。它們都必須具備有效的SSL憑證。另一個有用的預防措施是安裝可以封鎖腳本在使用者的瀏覽器中執行的外掛程式,像是NoScript

對於調查者和網路管理員來說,我寫了一個簡單的UNIX Shell腳本,可以設定使用已知網域列表(電子郵件服務,網路銀行等),並且接受可疑DNS伺服器地址作為輸入或使用預設DNS伺服器。該腳本會對一個公共DNS伺服器(Google所擁有)進行DNS查詢,同時查詢可疑DNS伺服器,然後進行比較。如果回應不同,這可疑DNS伺服器就有可能確實為惡意的。

相關雜湊值(HTML_DNSCHA.SM):

 

  • b7f2d91a1206b9325463e7970da32a0006a3ead5
  • 92b62f4a5bcf39e2b164fb5088b5868f54fa37b0
  • 48dbea87e50215504d3f5b49f29ecc4f284c6799
  • af6398ea2ade1ec6d3b3f45667f774008593a59f
  • 07a97f34b73c4525c65dabe1de15340e31d3353a
  • 86363fcf087c5d5a6830b7c398a73ea3fa4ee961
  • 62a2f5f5c6dd075c2dc3c744273fc8689e2e1e5f
  • 321f4ba49d978c7d2af97b2dc7aab8b40c40d36e

 

惡意DNS伺服器:

 

  • 119.37.193
  • 119.49.210
  • 8.68.249
  • 8.85.139
  • 186.146.68
  • 186.158.42
  • 186.2.16
  • 186.2.6
  • 99.111.84
  • 161.41.146

 

@原文出處:DNS Changer Malware Sets Sights on Home Routers作者:Fernando Mercês(資深威脅研究員)

 

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接