信息來源：企業(yè)網(wǎng) 

12月19日消息，據(jù)外媒報(bào)道，安全研究人員發(fā)現(xiàn)曾經(jīng)猖獗一時(shí)的DNSChanger惡意軟件再次被用于發(fā)動(dòng)大規(guī)模惡意攻擊。據(jù)悉，攻擊者通過DNSChanger攻擊包針對166種家用或小型辦公路由器型號(hào)展開了惡意廣告分發(fā)攻擊。

DNSChanger攻擊再度來襲

最早，DNSChanger是活躍于2007年至2012年的DNS劫持軟件。該惡意軟件由愛沙尼亞一家叫Rove Digital的公司研發(fā)，它會(huì)通過修改計(jì)算機(jī)的DNS設(shè)置，指向他們自己的服務(wù)器來感染電腦。通過這種方式，用戶在瀏覽網(wǎng)頁時(shí)便會(huì)被插入廣告。在該軟件鼎盛時(shí)期，大約感染了超過400萬臺(tái)計(jì)算機(jī)，并為該公司帶來了至少1400萬美元的非法廣告收入。

然而近日發(fā)現(xiàn)的DNSChanger攻擊包，則不再是針對瀏覽器，而是鎖定受害者的路由器展開的攻擊。根據(jù)安全機(jī)構(gòu)Proofpoint公布的研究報(bào)告指出，易受攻擊的路由器包括了目前部分主流的路由器品牌如D-Link、Netgear以及一些SOHO品牌如Pirelli、Comtrend等。

DNSChanger攻擊開始于攻擊者在主流網(wǎng)站上購買和放置廣告，這些廣告包含了惡意的JavaScript代碼，可通過觸發(fā)對Mozilla STUN服務(wù)器（stun.services.mozilla.com）的WebRTC請求來顯示用戶的本地IP地址。一旦攻擊者建立目標(biāo)的本地IP地址，他們會(huì)試圖確定目標(biāo)是否值得攻擊。

DNSChanger攻擊解析

如果值得攻擊，而受害者的路由器又具有可利用之漏洞的話，攻擊者便會(huì)使用已知路由器漏洞來修改路由器的DNS列表。如果沒有已知漏洞，攻擊者便會(huì)利用DNSChanger攻擊嘗試使用默認(rèn)憑證來更改DNS列表，并嘗試從外部地址獲取管理端口以進(jìn)行其他攻擊，包括中間人攻擊、網(wǎng)絡(luò)釣魚、金融欺詐、廣告欺詐等等。

通過攻擊，其目標(biāo)是更改受害者路由器上的DNS列表，進(jìn)而導(dǎo)流一些大型網(wǎng)絡(luò)廣告代理的流量為其賺錢，或使之訪問攻擊者操控的DNS服務(wù)器，展開其他攻擊等等。

那么對此用戶又該如何進(jìn)行防范呢？建議首先將路由器固件升級至最新版，之后可以更改路由器上的默認(rèn)本地IP范圍，禁用SOHO路由器上的遠(yuǎn)程管理功能，以及使用廣告攔截瀏覽器加載項(xiàng)等手段進(jìn)行安全防護(hù)。