网络罪犯开发了一种基于网络的攻击工具,当用户访问受损网站或在浏览器中查看恶意广告时,可以大规模劫持路由器。
这些攻击的目标是将配置在路由器上的DNS(域名系统)服务器替换为攻击者控制的恶意服务器。这使得黑客可以拦截流量、欺骗网站、劫持搜索查询、在网页上插入流氓广告等等。
DNS是喜欢上网的电话簿,并起着至关重要的作用。它把域名转换,这是便于人们记忆,为数字IP(互联网协议)地址,电脑需要知道彼此通信。
DNS以分层方式工作。当用户在浏览器中键入网站名称时,浏览器会向操作系统询问该网站的IP地址。然后,操作系统询问本地路由器,后者随后查询在其上配置的DNS服务器(通常由ISP运行的服务器)。链将继续,直到请求到达有关域名的权威服务器,或者直到服务器从其缓存中提供该信息。
如果攻击者在任何时候将自己插入到该进程中,他们都可以使用恶意IP地址进行响应。这将诱使浏览器在不同的服务器上查找网站;例如,可能托管一个伪造的版本以窃取用户的凭据。
一位名为Kafeine的独立安全研究人员最近观察到了从受损网站发起的驾车攻击,这些攻击将用户重定向到一个不寻常的基于Web的攻击工具包中是专门设计用来破坏路由器的.
绝大多数在地下市场销售并被网络犯罪分子使用的漏洞工具包都针对过时的浏览器插件(如Flash Player、Java、Adobe Reader或Silverlight)中的漏洞。他们的目标是在没有流行软件最新补丁的计算机上安装恶意软件。
这种攻击通常的工作是这样的:恶意代码注入到受害网站或包含恶意广告会自动重定向用户的浏览器,以决定他们的操作系统,IP地址,地理位置,浏览器类型,安装插件和其他技术细节的攻击服务器。根据这些属性的服务器,然后选择并启动从阿森纳是最有可能成功的攻击。
Kafeine观察到的攻击是不同的。Google Chrome用户被重定向到一个恶意服务器,该服务器加载了用于确定这些用户使用的路由器模型和替换设备上配置的DNS服务器的代码。
许多用户认为,如果他们的路由器不是为远程管理而设置的,那么黑客就无法从Internet上利用其基于Web的管理接口中的漏洞,因为这些接口只能从局域网内部访问。
那是假的。这种攻击可以通过一种称为跨站点请求伪造(CSRF)的技术实现,该技术允许恶意网站强制用户的浏览器在不同的网站上执行恶意操作。目标网站可以是路由器的管理接口,只能通过本地网络访问。
互联网上的许多网站已经实现了对CSRF的防御,但路由器通常缺乏这样的保护。
Kafeine发现的新的drive-by-exploit工具包使用CSRF检测来自多种供应商的40多种路由器型号,包括华硕电脑、贝尔金、D-Link、Edimax技术、Linksys、Medialink、微软、网件、深圳腾达技术、TP-Link技术、Netis系统、Trendnet、ZyXEL通信和HooToo。
根据检测到的模型,攻击工具试图通过利用已知的命令注入漏洞或使用公共管理凭据更改路由器的DNS设置。它使用CSRF对于这一点。
如果攻击成功,路由器的主DNS服务器将设置为受攻击者控制的服务器,而用作故障转移的辅助DNS服务器将设置为Google的公共DNS服务器.这样一来,如果恶意服务器暂时出现故障,路由器将仍然有一个功能完善的DNS服务器来解析查询和它的主人将没有理由变得多疑和重新配置设备。
据Kafeine,该漏洞利用一个受到这种攻击会影响从多个供应商和路由器在二月份被披露.一些厂商已经发布了固件更新,但更新路由器在过去几个月的数量,可能是非常低的,Kafeine说。
绝大多数路由器需要通过一个需要一些技术技能的过程来手动更新。这就是为什么他们中的许多人从来没有得到他们的主人的更新。
攻击者也知道这一点。事实上,此攻击工具包针对的其他一些漏洞包括2008年的漏洞和2013年的漏洞。
这次袭击似乎是在大规模地被执行。According to Kafeine, during the first week of May the attack server got around 250,000 unique visitors a day, with a spike to almost 1 million visitors on May 9. The most impacted countries were the U.S., Russia, Australia, Brazil and India, but the traffic distribution was more or less global.
为了保护自己,用户应该定期检查制造商的网站以获取路由器型号的固件更新,并且应该安装它们,特别是如果它们包含安全修复程序。如果路由器允许,他们也应该将对管理接口的访问限制在没有设备正常使用的IP地址,但是当他们需要更改路由器的设置时,可以手动将该地址分配给他们的计算机。