駭客藉由感染行動裝置入侵家用路由器,台灣受害第一名!

趨勢科技研究團隊發現最新一波透過感染行動裝置進一步取得家用路由器控制權的駭客攻擊事件。駭客透過感染某些亞洲及俄羅斯的網站進行散播,一旦行動裝置瀏覽這些帶有JavaScript的惡意網站。透過行動裝置會啟動JavaScript來下載一個名為JS_JITON的JavaScript。此惡意JavaScript 可以讓網路駭客攻擊家用路由器的漏洞,藉以變更DNS,將瀏覽特定網站的使用者重新導到惡意網頁,進一步讓網路駭客取得受害者的網路憑證,例如密碼和PIN碼,更甚者可以在遠端使用管理者權限發送任何指令到家用路由器上。

路由器

目前已知JS-JITON 僅在使用者使用ZTE路由器的時候攻擊其漏洞根據趨勢科技主動式雲端截毒服務  Smart Protection Network資料,受影響最大的國家是台灣、日本、中國、美國和法國,台灣受影響使用者佔全球27.41%。

此外, 值得注意的是,趨勢科技研究人員從在合法網站上的混淆過惡意JavaScript程式碼中發現,其有提到除了ZTE之外的知名路由器品牌D-LINK及TP-LINK,有可能成為攻擊的目標,使用者也須提高警覺。 

物聯網(IoT ,Internet of Thing)時代,使用者容易忽略更新連網設備韌體的重要性。趨勢科技資深技術顧問簡勝財建議,使用者需要了解這些智慧連網設備如何運作及會收集那些個人機密身份資料,定期檢查並更新韌體(如路由器)程式及避免使用設備出廠時預設的帳號密碼,可降低自身的資料遭竊的風險。

趨勢科技資安解決方案,包含趨勢科技PC-cillin雲端版Smart Protection SuitesWorry-Free Pro

可以封鎖相關惡意網址和偵測惡意檔案,保護使用者和企業免於此類威脅。行動裝置也可以安裝免費的趨勢科技「安全達人」免費行動防護App( Android  /iOS  ) 進一步封鎖此次攻擊中含有惡意程式的網址。

詳細事件說明,請參考下文說明。

 

新一波透過感染行動裝置,進一步取得家用路由器控制權的攻擊事件

針對家用路由器的攻擊已經出現好幾年了,從操縱路由器的惡意軟體到DNS重新綁定攻擊及後門程式等。就在去年,趨勢科技的研究人員曾發現網域名稱系統(DNS)變更惡意軟體會將瀏覽特定網站的使用者重新導到惡意網頁。使得受害者的網路憑證,例如密碼和PIN碼陷入險境。

病毒警訊

我們最近發現一起攻擊證明了物聯網(IoT ,Internet of Thing)會如何成為網路犯罪活動的入口。在這起自2015年12月就開始進行的攻擊中,它要求使用者透過行動裝置來瀏覽帶有JavaScript的惡意網站。透過行動裝置瀏覽這些網站會啟動JavaScript來下載另一個會變更DNS的JavaScript。

這個JavaScript被偵測為JS_JITON,不管使用者透過電腦或行動裝置瀏覽惡意網站都可以下載。然而,使用者所用的設備會造成感染鏈的不同。例如,JS_JITON下載只會感染行動裝置和觸發DNS變更行為的JS_JITONDNS。JITON只會在使用者使用ZTE路由器的時候攻擊漏洞。

 

圖1、JS_JITON偵測數量(2016年1月5日到2016年4月4日)

圖2:放在合法網站上混淆過的惡意JavaScript

 

我們在程式碼看到其提到知名品牌的路由器:D-LINK、TP-LINK和ZTE。TP-LINK佔路由器銷售的28%,是2015年第一季的路由器廠商第一名。D-Link也以7%的市場占有率而進入前十名。因為它們具有顯著的全球市場占有率,所以會讓網路犯罪分子盯上也並不令人驚訝。

台灣受影響最大

雖然這攻擊利用某些亞洲國家及俄羅斯的網站,但它所影響的範圍遍布全球各國家。根據趨勢科技主動式雲端截毒服務  Smart Protection Network資料,受影響最大的國家是台灣、日本、中國、美國和法國。路由器廠商D-Link和TP-Link分別是台灣和中國的品牌,所以也能夠理解為什麼有如此高比例的受影響使用者。

圖3:近三個月受JS_JITON影響的前十大個國家

 

網路犯罪分子利用閃避機制讓自己進行攻擊得逞而沒有引起受害者的懷疑。其手段包括了定期更新JavaScript程式碼來修正錯誤,不斷改變所針對的家用路由器。很難確定有哪些網站,因為缺乏可疑的行為。我們在調查中也觀察到它具有鍵盤側錄功能來讓此威脅收集對特定網站的輸入內容。不過在本文發表時,此功能已經被移除。

 

透過程式碼來了解更多

這些惡意JavaScript包含了1400組登錄資料。使用常見密碼列表就可以覆寫家用路由器的DNS設定。然而大部分清單已經被註釋掉,這意味著它無法正常工作。因此,受影響的路由器可能有限。有些腳本內的程式碼可以透過ZTE的CVE-2014-2321漏洞來覆寫DNS設定。如果攻擊成功,攻擊者可以遠端用管理者權限發送任何指令。

 

該注意的是,只有當使用者用行動裝置瀏覽遭入侵網站時才會覆寫這些DNS設定。此外,程式碼被註釋掉而無法正常執行。雖然我們不知道加入這些功能的動機,但我們可以推測這是因為行動裝置的普及和使用率的增加。也有可能這些功能只是在進行測試,既然這些腳本會定期更新。

圖4:登錄帳號和密碼列表

圖5:透過CVE-2014-2321漏洞修改DNS設定的腳本部分

 

提高認知是數位化時代的關鍵

 

針對家庭路由器的威脅可能會更加擴散,特別是在設備數位化的時代。雖然物聯網有其好處,它也帶給家用路由器使用者安全和隱私相關風險。

使用者可以透過下列安全措施來保護自己以對抗此類風險:

  • 用最新修補程式來保持韌體(如路由器)更新
  • 避免使用預設帳號密碼

 

很多時候,人們忽略及時更新韌體的重要性。管理設備,特別是在物聯網時代,很容易遭到對使用者隱私和安全風險的攻擊。最好要知道這些智慧型設備如何運作及這些設備收集什麼樣的個人身份資料。了解智慧型設備的安全程度和可能的安全風險類型都有助於保護自己和資料免於像JITON這類的威脅。

趨勢科技的端點解決方案,如趨勢科技PC-cillin雲端版Smart Protection Suites和 Worry-Free Pro

可以透過封鎖所有相關惡意網址和偵測惡意檔案來保護使用者和企業免於此類威脅。安全趨勢科技「安全達人」免費行動防護App( Android  / iOS )也可以封鎖此次攻擊中所用的惡意網址。

 

入侵指標(IOC

 

類型指標
JS_JITON SHA1值4b75a94613b7bf238948104092fe9fd4107fbf97
JS_JITON SHA1值da19d2b503932bfb7b0ccf6c40b9f0b0d19282fb
JS_JITON SHA1值f7d9dbc1c198de25512cb15f3c19827a2b2188df
JS_JITON SHA1值545c71b9988d6df27eae31e8738f28da7caae534
JS_JITON SHA1值67c28c29ebef9a57657e84dce83d458225447ae9
JS_JITON SHA1值1f6e45204a28d9da16777d772eddf7e8d10e588a
JS_JITON SHA1值331441f69ceae4d9f3a78f4b4b46bdc64c11bd4a
JS_JITON SHA1值2f48f1c75f0984d722395b47cd10af9c15ea142f
JS_JITON SHA1值b6c423ff0c91fa65b63a37a136ca6bbe29fce34d
JS_JITON SHA1值9d37dcf8f87479545adf78d44ca97464491fe39a
JS_JITON SHA1值af3ececf550f9486d90fca6f7bb7c735318d50cd
JS_JITON SHA1值ce034e437b20dce84e75a90ed2b3a58532ebcbb9
JS_JITON SHA1值acb1f8caa3d2babe37ea21014e0c79ce6c18f8a2
JS_JITON SHA1值b62ea64db9643fe0a4331f724d234e19c149cabf
惡意網站hxxp://lib[.]tongjii[.]us/tj[.]js
惡意網站hxxp://lib[.]tongjii[.]us/tongji[.]js
惡意網站hxxp://cn[.]tongjii[.]us/show[.]js
惡意網站hxxp://cn[.]tongjii[.]us/show1[.]js
惡意網站hxxp://dns[.]tongjj[.]info/dns/dlink[.]js
惡意網站hxxp://dns[.]tongjj[.]info/dns/tplink[.]js
惡意網站hxxp://dns[.]tongjj[.]info/dns/zte[.]js
惡意網站hxxp://dns[.]tongjj[.]info/dns/china/dlink[.]js
惡意網站hxxp://dns[.]tongjj[.]info/dns/china/tplink[.]js
惡意網站hxxp://dns[.]tongjj[.]info/dns/china/zte[.]js

 

原文出處:Mobile Devices Used to Execute DNS Malware Against Home Routers作者:Chisato Rokumiya