嗯,这只是桃子 - 网络犯罪分子正在积极地使用一种感染路由器甚至Android设备的恶意运动。如果路由器被PWNED,则每个连接到该路由器的设备都是PWNED。
校对点研究人员警告说,网络暴徒正在使用这种恶意运动的新的和改进版本的DNSChanger Exploit套件(EK)。
通常,恶意化涉及将恶意软件注入恶意软件,以通过浏览器感染并在仅访问受影响的页面后攻击受害者的计算机。今年早些时候,人们因访问纽约时报,希尔,MSN,BBC,NFL,AOL,Newsweek和My.xfinity.com等热门的高调的网站而受到恶意的热门景点。但这一次,恶意利用套件瞄准路由器。
校对点报道:
DNSChanger通过潜在的受害者的Web浏览器攻击互联网路由器; EK不依赖于浏览器或设备漏洞,而是受害者“家庭或小型办公室(SOHO)路由器的漏洞。最常见的是,DNSchanger通过Windows桌面和Android设备上的Chrome浏览器工作。但是,一旦路由器受到损害,连接到路由器的所有用户,无论其操作系统或浏览器如何易受攻击和进一步恶化。
对于这个广告系列来说,网络娴熟的骗子在合法网站上购买广告,并用恶意的javascript填写它们。令人讨厌的JavaScript向Mozilla Stun Server发送WebRTC(实时通信)请求,可以检测受害者的本地IP地址。
如果攻击者已经知道IP,或者它不是目标范围中的一个,那么受害者是一个合法的广告,而攻击者在下一个受害者之后。
否则,将显示一个受感染的假广告,其中包含将受害者重定向到DNSChanger EK的代码。在再次检查IP地址后,研究人员表示,Exploit套件“加载多个函数和隐藏在小图像中隐藏的ack键。”
这些函数包括指纹识别,以便受害者的浏览器报告正在使用哪些路由器并推出攻击路由器的指令。目前,这种恶意活动正在使用166个路由器指纹。如果未知漏洞,则攻击会尝试默认凭据;否则,已知的漏洞用于更改DNS条目并使管理端口远程访问。这样做打开路由器进一步攻击,例如Mirai Botnets。
校验点写道,“我们能够确认攻击是在Google Chrome for Windows以及Android上正确执行的。
如果您想要这场恶意运动的整个大图片,则验证点提出了一个显示完整攻击链的图形。
校对点虽然您可能想知道Hitlist上的路由器,但研究人员还没有“受影响路由器的明确列表”。他们确实看到36路由器模型中成功打开管理端口的攻击。他们知道以下路由器绝对脆弱:
D-Link DSL-2740RComvrend ADSL路由器CT-5367 C01_R12NETGEAR WNDR3400V3(以及本系列中的其他型号)Pirelli ADSL2 / 2 +无线路由器P.DGA4001NNETGEAR R6200他们尚未见过的证据表明,在美国 - 证券最初表示停止使用的远程利用的NetGear路由器之后才能进行漏洞利用套件,然后修改了禁用Web服务器的建议,或者由Netgear编译的易受攻击路由器的确认列表。
“在许多情况下,只需在SOHO路由器上禁用远程管理可以提高其安全性”,“校对点写道。但是,在这种情况下,攻击者使用来自网络上的设备的有线或无线连接。因此,攻击者不需要打开远程管理以成功更改路由器设置。“
虽然没有简单的方法来防止这种恶意运动,但研究人员建议应用最新的路由器固件更新以避免利用。其他建议包括更改默认本地IP范围或使用广告阻止浏览器加载项。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。