这
不是我们
第一次解决网络路由器中的漏洞问题,但是Bad Packets组和Ixia(
新闻 ,Bad Packets
报告, Ixia
报告 )的研究很有趣,因为它们提供了几乎完整的画面:路由器如何中断,它们如何更改设置以及如何更改然后发生。
此类攻击没有任何技术上复杂的元素,攻击者的目标很简单-从广告中赚钱,并在可能的情况下窃取用于访问银行系统和付费Internet服务的密码。 简而言之:攻击者扫描了网络,以寻找易受攻击的路由器(主要是新的D-Link型号)。 发现了这样的路由器后,他们更改了其中的DNS记录,将流量重定向到自己的服务器。 在这种情况下,使用的漏洞很小,未经授权就可以访问未修补设备的设置。 目标名单上最古老的设备已有10多年的历史,但是尽管如此,从理论上讲,网络犯罪分子仍可能攻击超过15,000名受害者。
Bad Packets专家在去年12月底以及2019年2月和3月底记录了三起具有常见迹象的攻击。 在所有情况下,攻击的第一阶段都使用Google Cloud Platform服务:创建了一个虚拟服务器,使网络设备“环环相扣”。
扫描旨在发现具有已知漏洞的设备,主要是这些不是D-Link生产的最现代的路由器。 后来,使用
BinaryEdge服务收集有关网络设备参数的信息,可以估算出原则上有多少设备容易受到这种攻击。 在这次运动中遭到精确攻击的十多个模型中,只有一个被记录了数千个“命中”。
这是D-Link
DSL-2640B ADSL路由器 。 1兆以太网,支持WiFi 802.11g-一般来说,对于自2007年以来可用的型号来说还不错。 其他型号(例如,D-Link 2740R,526B和其他型号,只有大约十二种版本),如果它们对攻击者有利,那么规模较小-网络上只有几百个这样的设备。
2012年,2640B模型被发现是网络设备的传统
漏洞 :如果您强迫登录路由器的Web界面的用户单击准备好的链接,则可以控制该设备。 在2017年,同一路由器发现了一个更严重的问题:事实证明,可以
未经授权替换DNS服务器记录。 当然,如果可以从外部访问路由器的Web界面,则在正常情况下不应发生这种情况。
DNS服务器欺骗的后果是显而易见的:攻击者可以用自己的广告替换横幅广告,向用户显示“正确”地址上的虚假站点,并使用恶意软件直接攻击连接到路由器的计算机。
Ixia发现,被攻击的路由器究竟发生了什么。 这样做是这样的:在测试系统上,将恶意服务器安装为DNS服务器,然后运行一万个最受欢迎站点的域名列表(根据Alexa服务的版本)。 有必要找出伪造的DNS服务器试图将受害者带到自己的网站版本的哪个域。 记录了针对四个全球服务的网站欺骗:Paypal,GMail,Uber和Netflix。 其他域(总数超过十个)是巴西的银行和网络提供商的本地服务。
银行服务的副本看起来很可靠,只有缺少HTTPS连接才表明是伪造的。 显然,攻击者没有设法适当地准备一些重定向:例如,显示了标准的Apache Web服务器存根,而不是
cetelem.com网站。 如果今年3月遭到特定攻击,则假冒网站和DNS服务器本身也都托管在Google云平台上。 回应
Arstechnica网站的要求,Google说,恶意服务被阻止,并已采取措施在将来自动阻止此类操作。 但是,这与Google无关:其他攻击浪潮在加拿大和俄罗斯使用了服务器。
通常,在这种情况下,我们不是在谈论大规模攻击。 击败具有多年已知漏洞的,已经存在多年的设备,并且由于某种原因(错误的配置,不安全的默认设置),这些设备基本上可以使您从Internet(而不仅仅是从本地网络)访问时打开Web界面。 在这种情况下,几乎不值得为古老的固件打补丁,因为它更容易升级。 为什么攻击者甚至攻击相对较少类型的设备? 这是非常简单且有利可图的。
在过去的十年中,已经记录了使用DNS欺骗进行大规模攻击的情况,连接到Wi-Fi之后,还有更多创造性的方法,例如使用恶意应用程序
攻击路由器 。 然后有很多不诚实的赚钱方法:网络钓鱼,然后在黑市上转售密码(最近流媒体音乐和视频的付费服务帐户已成为热门商品),通过银行和支付服务直接盗窃资金,以及恶意软件的传播。 在巴西,此类攻击具有
流行的特征,有成千上万的被攻击设备在计数。 因此,今天,我们面临着网络犯罪分子活跃活动的充分记录的但很小的事件。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。