安全動態(tài)

DNSChanger再度來襲 目標家用/辦公路由器

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2016-12-19    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng) 

12月19日消息,據(jù)外媒報道,安全研究人員發(fā)現(xiàn)曾經(jīng)猖獗一時的DNSChanger惡意軟件再次被用于發(fā)動大規(guī)模惡意攻擊。據(jù)悉,攻擊者通過DNSChanger攻擊包針對166種家用或小型辦公路由器型號展開了惡意廣告分發(fā)攻擊。

DNSChanger再度來襲 目標家用/辦公路由器

DNSChanger攻擊再度來襲

最早,DNSChanger是活躍于2007年至2012年的DNS劫持軟件。該惡意軟件由愛沙尼亞一家叫Rove Digital的公司研發(fā),它會通過修改計算機的DNS設(shè)置,指向他們自己的服務(wù)器來感染電腦。通過這種方式,用戶在瀏覽網(wǎng)頁時便會被插入廣告。在該軟件鼎盛時期,大約感染了超過400萬臺計算機,并為該公司帶來了至少1400萬美元的非法廣告收入。

然而近日發(fā)現(xiàn)的DNSChanger攻擊包,則不再是針對瀏覽器,而是鎖定受害者的路由器展開的攻擊。根據(jù)安全機構(gòu)Proofpoint公布的研究報告指出,易受攻擊的路由器包括了目前部分主流的路由器品牌如D-Link、Netgear以及一些SOHO品牌如Pirelli、Comtrend等。

DNSChanger攻擊開始于攻擊者在主流網(wǎng)站上購買和放置廣告,這些廣告包含了惡意的JavaScript代碼,可通過觸發(fā)對Mozilla STUN服務(wù)器(stun.services.mozilla.com)的WebRTC請求來顯示用戶的本地IP地址。一旦攻擊者建立目標的本地IP地址,他們會試圖確定目標是否值得攻擊。

DNSChanger再度來襲 目標家用/辦公路由器

DNSChanger攻擊解析

如果值得攻擊,而受害者的路由器又具有可利用之漏洞的話,攻擊者便會使用已知路由器漏洞來修改路由器的DNS列表。如果沒有已知漏洞,攻擊者便會利用DNSChanger攻擊嘗試使用默認憑證來更改DNS列表,并嘗試從外部地址獲取管理端口以進行其他攻擊,包括中間人攻擊、網(wǎng)絡(luò)釣魚、金融欺詐、廣告欺詐等等。

通過攻擊,其目標是更改受害者路由器上的DNS列表,進而導流一些大型網(wǎng)絡(luò)廣告代理的流量為其賺錢,或使之訪問攻擊者操控的DNS服務(wù)器,展開其他攻擊等等。

那么對此用戶又該如何進行防范呢?建議首先將路由器固件升級至最新版,之后可以更改路由器上的默認本地IP范圍,禁用SOHO路由器上的遠程管理功能,以及使用廣告攔截瀏覽器加載項等手段進行安全防護。

 
 

上一篇:踐行國家戰(zhàn)略,“供”迎一體化國家大數(shù)據(jù)中心發(fā)展契機

下一篇:2016年12月19日 聚銘安全速遞