GhostDNS劫持10萬臺路由器

安全公司Netlab的安全研究人員曝光一款惡意軟體，該惡意軟體已經佔領了巴西大量的網際網路路由器，並正在向主要金融機構收集使用者登入資料。

Netlab的研究顯示，在南美洲，網際網路路由器普遍受到感染，並對毫無戒心的網際網路使用者進行了大規模的網路釣魚攻擊。令人震驚的100,000臺路由器被惡意程式碼劫持，目前正在將流量重定向到網路釣魚站點：模仿各大銀行、電信公司、網際網路服務提供商、媒體網，甚至Netflix的登入頁。

惡意軟體已被Netlab命名為GhostDNS，它由複雜的攻擊指令碼組合而成。這些指令碼劫持路由器設定，用替代DNS服務替換它們，然後將流量引導至主要線上服務的“克隆”登入頁面。 

DNS重定向服務稱為Rouge，甚至可以在亞馬遜、OVH、谷歌、Telefonica和Oracle等眾多著名的雲託管服務上執行。該網路自今年6月中旬以來一直在執行網路釣魚計劃， Netlab正在跟蹤感染的進展及其內部運作，並一直與服務提供商聯絡以關閉網路。

Netlab提供了攻擊如何運作的詳細圖表：

（來源: NetLab）

GhostDNS系統由四部分組成：DNSChanger模組，網路釣魚Web模組，Web管理模組（它掃描網際網路上的易受攻擊的裝置），Rogue DNS模組（是一個DNS伺服器網路，然後重定向到網路釣魚伺服器）。

DNSChanger模組是GhostDNS的主要模組，負責資訊的收集和利用。攻擊者使用三個DNSChanger子模組對網際網路和內聯網網路上的路由器進行攻擊。

該模組共包含100多個攻擊指令碼，影響70多種不同的路由器。

三個DNSChanger子模組：

Netlab聲稱有效載荷是通過遠端訪問漏洞提供的，這些路由器的DNS受到劫持。一旦使用者的路由器被黑客入侵，HTTP請求被惡意重定向到克隆的登入頁面，通常無害的銀行之旅就會變成網路釣魚噩夢，收集使用者資料。

雖然絕大多數受感染的路由器位於巴西（佔所有感染的87.8％），並且網路釣魚明顯針對巴西公司，但它也遍佈整個南美洲，並且超過100,000個受感染的路由器。 Netlab正在與主要服務提供商合作，以修補他們的漏洞並關閉將使用者推向網路釣魚站點的惡意DNS重定向伺服器。

（來源: NetLab）

Spamhaus.com將巴西評為全球殭屍網路感染排名第三位，共有756,420個受感染裝置，僅次於印度（1,485,933次感染）和中國（感染1,666,901次）。

（來源：spamhaus——十大殭屍網路國家）

受感染IP地址的國家/地區列表：