网络犯罪分子已经开发出一种基于Web的攻击工具劫持上,当用户访问受害网站或查看恶意广告在其浏览器大规模路由器。
这些攻击的目标是取代的DNS(域名系统)与被攻击者控制的流氓那些路由器配置的服务器。这使黑客能够拦截通信量,恶搞网站,劫持网页上的更多搜索查询,注入恶意广告。
DNS就像互联网的电话簿,扮演着重要的角色。它将人们容易记住的域名转换成数字IP(互联网协议)地址,计算机需要知道这些地址才能相互通信。
该DNS工作在一个分层的方式。当用户键入一个网站的名称在浏览器,浏览器会询问该网站的IP地址,操作系统。然后,OS询问本地路由器,然后查询上配置的DNS服务器,服务器通常由ISP运行。链继续,直到达到要求的问题,或者直到服务器的域名授权服务器提供其高速缓存信息。
如果攻击者在任何时候把自己摆在这个过程中,他们可以用流氓的IP地址进行响应。这将欺骗浏览器寻找一个不同的服务器上的网站;一个可能,例如,举办旨在窃取用户的凭据仿版。
在网上被称为Kafeine一个独立的安全研究人员最近发现驱动器通过将用户重定向到从受害网站发起的攻击一个不寻常的基于Web的开发工具包,是专为妥协路由器。
绝大多数利用地下市场销售和使用网络罪犯套件针对过时的浏览器插件如Flash播放器,Java和Adobe Reader或Silverlight中的漏洞。他们的目标是没有流行软件的最新补丁的计算机上安装恶意软件。
这些攻击通常是这样进行的:注入受攻击网站的恶意代码或包含在流氓广告中的恶意代码会自动将用户的浏览器重定向到攻击服务器,该服务器会确定用户的操作系统、IP地址、地理位置、浏览器类型、已安装插件和其他技术细节。然后,服务器根据这些属性选择并启动最有可能成功的攻击。
通过Kafeine观察到的攻击是不同的。谷歌Chrome浏览器用户重定向到恶意服务器装入的代码,旨在确定那些用户所使用的路由器型号和更换设备上配置的DNS服务器。
很多用户认为,如果他们的路由器没有设置用于远程管理,黑客无法利用从互联网基于Web的管理界面漏洞,因为这些接口是从局域网内只访问。
这是错误的。这种攻击通过一种叫做跨站请求伪造(CSRF),它允许恶意网站强制用户的浏览器在不同的网站上执行恶意行为是可能的。目标网站可以是路由器的管理界面,这只是通过本地网络访问。
互联网上的许多网站已经实现了对CSRF防御,但路由器通常缺乏这种保护。
新的驱动器,通过漏洞套件发现Kafeine使用CSRF从不同的厂商,包括华硕,贝尔金,d-Link的,爱迪麦斯科技,Linksys的的MediaLink,微软,Netgear公司,深圳市吉祥腾达科技,TP检测超过40种型号的路由器-Link技术,Netis系统,TRENDnet的,合勤科技和HooToo。
根据所检测到的模型,该攻击工具会利用已知的命令注入漏洞或使用通用管理凭证,尝试更改路由器的DNS设置。它也使用CSRF。
如果攻击成功,则路由器的主DNS服务器设置为一个攻击者和次级之一,它被用作故障切换控制,设置为谷歌的公共DNS服务器。这样,如果恶意服务器暂时宕机,路由器仍然有一个功能完美的DNS服务器来解决查询,它的所有者也没有理由怀疑并重新配置设备。
根据Kafeine的说法,这次攻击所利用的一个漏洞影响来自多个供应商和路由器在2月被披露。Kafeine说,一些供应商已经发布了固件更新,但过去几个月更新的路由器数量可能非常少。
绝大多数路由器必须通过需要一些技术技能的过程手动更新。这就是为什么许多人千万不要被它们的主人更新。
攻击者也知道这一点。事实上,这个攻击工具包针对的其他一些漏洞包括2008年的和2013年的。
这次袭击似乎是大规模实施的。据Kafeine称,在5月的第一周,该攻击服务器每天大约有25万独立访问者,在5月9日达到了100万。受影响最大的国家是美国但交通分布或多或少是全球性的。
为了保护自己,用户应定期检查制造商的网站固件更新他们的路由器型号,并应安装它们,特别是如果它们包含安全修补程序。如果路由器允许的话,他们也应该限制访问管理界面,没有设备正常使用,但也可以手动分配给自己的电脑时,他们需要更改路由器的设置一个IP地址。