搜索
查看: 4082|回复: 117
收起左侧

[数码硬件] GhostDNS劫持10万台路由器

  [复制链接]
驭龙
发表于 2018-10-5 10:01:36 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2018-10-5 10:19 编辑

安全公司Netlab的安全研究人员曝光一款恶意软件,该恶意软件已经占领了巴西大量的互联网路由器,并正在向主要金融机构收集用户登录数据。


Netlab的研究显示,在南美洲,互联网路由器普遍受到感染,并对毫无戒心的互联网用户进行了大规模的网络钓鱼攻击。令人震惊的100,000台路由器被恶意代码劫持,目前正在将流量重定向到网络钓鱼站点:模仿各大银行、电信公司、互联网服务提供商、媒体网,甚至Netflix的登录页。

恶意软件已被Netlab命名为GhostDNS,它由复杂的攻击脚本组合而成。这些脚本劫持路由器设置,用替代DNS服务替换它们,然后将流量引导至主要在线服务的“克隆”登录页面。

DNS重定向服务称为Rouge,甚至可以在亚马逊、OVH、谷歌、Telefonica和Oracle等众多著名的云托管服务上运行。该网络自今年6月中旬以来一直在运行网络钓鱼计划, Netlab正在跟踪感染的进展及其内部运作,并一直与服务提供商联系以关闭网络。

Netlab提供了攻击如何运作的详细图表:
1.jpg

(来源: NetLab)


GhostDNS系统由四部分组成:DNSChanger模块,网络钓鱼Web模块,Web管理模块(它扫描互联网上的易受攻击的设备),Rogue DNS模块(是一个DNS服务器网络,然后重定向到网络钓鱼服务器)。

DNSChanger模块是GhostDNS的主要模块,负责信息的收集和利用。攻击者使用三个DNSChanger子模块对互联网和内联网网络上的路由器进行攻击。

该模块共包含100多个攻击脚本,影响70多种不同的路由器。

三个DNSChanger子模块:
2.jpg


Netlab声称有效载荷是通过远程访问漏洞提供的,这些路由器的DNS受到劫持。一旦用户的路由器被黑客入侵,HTTP请求被恶意重定向到克隆的登录页面,通常无害的银行之旅就会变成网络钓鱼噩梦,收集用户数据。

虽然绝大多数受感染的路由器位于巴西(占所有感染的87.8%),并且网络钓鱼明显针对巴西公司,但它也遍布整个南美洲,并且超过100,000个受感染的路由器。 Netlab正在与主要服务提供商合作,以修补他们的漏洞并关闭将用户推向网络钓鱼站点的恶意DNS重定向服务器。
3.jpg

(来源: NetLab)


Spamhaus.com将巴西评为全球僵尸网络感染排名第三位,共有756,420个受感染设备,仅次于印度(1,485,933次感染)和中国(感染1,666,901次)。
4.jpg

(来源:spamhaus——十大僵尸网络国家)


受感染IP地址的国家/地区列表:
5.jpg


以下是受感染路由器的网页标题列表:
6.jpg
7.jpg


安全公司Netlab,建议宽带用户更新其路由器系统,检查路由器的默认DNS服务器是否已更改,并为路由器Web门户设置更复杂的密码。还建议路由器厂商增加路由器默认密码的复杂性,并增强其产品的系统安全更新机制。

原文转自
https://zhuanlan.kanxue.com/article-5201.htm
驭龙
 楼主| 发表于 2018-10-5 11:53:41 | 显示全部楼层
大家有兴趣可以看一看原网站的详细信息,注意发布者是谁
https://blog.netlab.360.com/70-d ... jacked-by-ghostdns/
躲在天空的鸟
发表于 2018-10-6 11:27:56 | 显示全部楼层
秋名AE86 发表于 2018-10-6 09:00
没价值的话,毫无意义。这类攻击是奔着有价值的目标对象。一个普通上网的百姓,纵然万般防御各种,然而你 ...

……如果有兴趣的话可以去读读《计算机控制、审计与安全》、《数据通讯与网络》这两本书,适合入门者。从事这个行业这么多年,这种言论都听得麻木了。
并不是说觉得自己的计算机没有价值就不攻击。
任何一台在因特网中的设备都是有价值的
我觉得你一定没看懂楼主的文章,所谓的“僵尸网络”就是由大量的你口中的“没有价值”的计算机所组成的。
那么僵尸网络能干吗?DOS攻击,摧毁一个甚至一组服务器。挖矿,挑选性能较好的计算机进行挖矿。等等等等。
再说一个例子,你所在的校园网,我在另一个网络环境本来是访问不了的,但是由于你的计算机感染了木马,我就可以用你的计算机作为跳板来黑入该校园网的其他目标计算机,甚至服务器,由此摧毁一个学校的教务系统。也可以不是校园网,是你家路由器下的局域网,我可以由此入侵你的手机,获取全部资料,黑市售卖。也可以是单位或公司的网络,我可以由此瘫痪整个组织的运作,植入勒索病毒,敲诈一笔。
网络攻击并不是只有“特定”的攻击,也有无差别的——我不进去你的计算机怎么知道你的计算机有什么好东西?
你永远不知道互联网黑产有多庞大。
只能说多去了解一下吧,骗子往往都是从让被骗者觉得自己“不吃亏”开始动手的。

评分

参与人数 2人气 +6 收起 理由
ELOHIM + 3 感谢解答: )
驭龙 + 3 明白人

查看全部评分

jkshare
发表于 2018-10-5 10:04:54 | 显示全部楼层
图片自行上传哈,看不到
驭龙
 楼主| 发表于 2018-10-5 10:09:28 | 显示全部楼层
jkshare 发表于 2018-10-5 10:04
图片自行上传哈,看不到

没问题的,我这里可以看到图片
利刀1937
发表于 2018-10-5 10:10:48 来自手机 | 显示全部楼层
驭龙 发表于 2018-10-5 10:09
没问题的,我这里可以看到图片

有问题的耶,我介里不可以看到图片
驭龙
 楼主| 发表于 2018-10-5 10:12:58 | 显示全部楼层
利刀1937 发表于 2018-10-5 10:10
有问题的耶,我介里不可以看到图片

我更换网站内容了,不过这个内容跟之前的差一点,没有那么多图,哈哈
蓝天二号
发表于 2018-10-5 10:17:54 | 显示全部楼层
你最近倒是一直很关注路由器呀?
驭龙
 楼主| 发表于 2018-10-5 10:22:28 | 显示全部楼层
蓝天二号 发表于 2018-10-5 10:17
你最近倒是一直很关注路由器呀?

因为路由安全比PC更重要,PC已经被微软WD弄得门槛很高了,加上国内的360,所以中毒不容易,而路由就不一样了,很多人不注意这方面的问题

评分

参与人数 2人气 +3 收起 理由
为你心碎 + 2 感谢提供分享
l10x + 1 赞一个!

查看全部评分

驭龙
 楼主| 发表于 2018-10-5 10:23:37 | 显示全部楼层
利刀1937 发表于 2018-10-5 10:10
有问题的耶,我介里不可以看到图片

我把图片重新上传了,这次应该没问题
蓝天二号
发表于 2018-10-5 10:24:13 | 显示全部楼层
驭龙 发表于 2018-10-5 10:22
因为路由安全比PC更重要,PC已经被微软WD弄得门槛很高了,加上国内的360,所以中毒不容易,而路由就不一 ...

一个是软防,一个是硬防,相比之下还是硬防更难做~~
驭龙
 楼主| 发表于 2018-10-5 10:29:27 | 显示全部楼层
蓝天二号 发表于 2018-10-5 10:24
一个是软防,一个是硬防,相比之下还是硬防更难做~~
不不不,路由也是有软件系统的,而这种系统有的厂商不更新漏洞补丁,而且路由的系统没有很好的防御功能,不能像PC那样安装安全软件,自然比PC容易攻击啊,你这种路由不容易攻击的想法, 应该就是大多数人的想法,看看China的感染率吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-10-24 02:45 , Processed in 0.068602 second(s), 9 queries , MemCache On.

快速回复 返回顶部 返回列表