安全公司Netlab的安全研究人員曝光一款惡意軟體,該惡意軟體已經佔領了巴西大量的網際網路路由器,並正在向主要金融機構收集使用者登入資料。
Netlab的研究顯示,在南美洲,網際網路路由器普遍受到感染,並對毫無戒心的網際網路使用者進行了大規模的網路釣魚攻擊。令人震驚的100,000臺路由器被惡意程式碼劫持,目前正在將流量重定向到網路釣魚站點:模仿各大銀行、電信公司、網際網路服務提供商、媒體網,甚至Netflix的登入頁。
惡意軟體已被Netlab命名為GhostDNS,它由複雜的攻擊指令碼組合而成。這些指令碼劫持路由器設定,用替代DNS服務替換它們,然後將流量引導至主要線上服務的“克隆”登入頁面。
DNS重定向服務稱為Rouge,甚至可以在亞馬遜、OVH、谷歌、Telefonica和Oracle等眾多著名的雲託管服務上執行。該網路自今年6月中旬以來一直在執行網路釣魚計劃, Netlab正在跟蹤感染的進展及其內部運作,並一直與服務提供商聯絡以關閉網路。
Netlab提供了攻擊如何運作的詳細圖表:
(來源: NetLab)
GhostDNS系統由四部分組成:DNSChanger模組,網路釣魚Web模組,Web管理模組(它掃描網際網路上的易受攻擊的裝置),Rogue DNS模組(是一個DNS伺服器網路,然後重定向到網路釣魚伺服器)。
DNSChanger模組是GhostDNS的主要模組,負責資訊的收集和利用。攻擊者使用三個DNSChanger子模組對網際網路和內聯網網路上的路由器進行攻擊。
該模組共包含100多個攻擊指令碼,影響70多種不同的路由器。
三個DNSChanger子模組:
Netlab聲稱有效載荷是通過遠端訪問漏洞提供的,這些路由器的DNS受到劫持。一旦使用者的路由器被黑客入侵,HTTP請求被惡意重定向到克隆的登入頁面,通常無害的銀行之旅就會變成網路釣魚噩夢,收集使用者資料。
雖然絕大多數受感染的路由器位於巴西(佔所有感染的87.8%),並且網路釣魚明顯針對巴西公司,但它也遍佈整個南美洲,並且超過100,000個受感染的路由器。 Netlab正在與主要服務提供商合作,以修補他們的漏洞並關閉將使用者推向網路釣魚站點的惡意DNS重定向伺服器。
(來源: NetLab)
Spamhaus.com將巴西評為全球殭屍網路感染排名第三位,共有756,420個受感染裝置,僅次於印度(1,485,933次感染)和中國(感染1,666,901次)。
(來源:spamhaus——十大殭屍網路國家)
受感染IP地址的國家/地區列表:
以下是受感染路由器的網頁標題列表:
安全公司Netlab,建議寬頻使用者更新其路由器系統,檢查路由器的預設DNS伺服器是否已更改,併為路由器Web門戶設定更復雜的密碼。還建議路由器廠商增加路由器預設密碼的複雜性,並增強其產品的系統安全更新機制。
參考來源:
- End -
書籍推薦:
《加密與解密》
是一本逆向必讀書籍。本書以軟體逆向為切入點,講述了軟體安全領域相關的基礎知識和技能,可以說是安全人士必讀書籍之一了。
看雪推薦“解密”前的過渡書籍:
基普·歐文的《組合語言:基於x86處理器》
王爽的《組合語言》
Charles Petzold著的《Windows程式設計》(以VC來講解)
長按識別二維碼,即可購買以上書籍
更多閱讀: