Dnshanger惡意軟件回來了！劫持路由器攻擊每一個連接的設備

因為廣告可能會以這樣一種方式感染你，不僅是你的系統，連到你網絡上的每一臺設備都會受到影響。

幾天前，我們報道了一個名為大腿，將惡意代碼隱藏在幾個知名新聞網站上旋轉的橫幅廣告像素中。

現在，研究人員發現，攻擊者利用名為德辛格這是通過在圖像數據中隱藏惡意代碼的廣告傳播的。

還記得DNSChanger嗎?沒錯，就是2012年感染了全球數百萬臺電腦的惡意軟件。

Dnshanger的工作原理是更改受感染計算機中的DNS服務器條目，以指向攻擊者控制下的惡意服務器，而不是任何ISP或組織提供的DNS服務器。

因此，每當一個受感染系統的用戶在互聯網上（比如facebook.com）查找一個網站時，惡意DNS服務器就會告訴你去一個釣魚網站。攻擊者還可以插入廣告、重定向搜索結果或嘗試安裝驅動下載。

最令人擔憂的是，黑客在最近廣泛開展的惡意攻擊活動中，將這兩種威脅結合在一起。DNSChanger惡意軟件正在使用Stegno技術傳播，一旦它攻擊你的系統，而不是感染你的電腦，它就會控制你不安全的路由器。

Proof Point的研究人員在166多種路由器型號上發現了這種獨特的Dnshanger漏洞工具包。該工具包是獨一無二的，因為其中的惡意軟件不針對瀏覽器，而是針對運行未修補固件或使用弱管理員密碼保護的路由器。

以下是攻擊的工作原理：

首先，主流網站上隱藏圖像數據中惡意代碼的廣告會將受害者重定向到承載Dnshanger漏洞工具包的網頁。然后，攻擊套件將目標鎖定在不安全的路由器上。

一旦路由器遭到破壞，DNSChanger惡意軟件會將自身配置為使用攻擊者控制的DNS服務器，從而導致網絡上的大多數計算機和設備訪問惡意服務器，而不是訪問與其官方域對應的服務器。

這些包含惡意JavaScript代碼的廣告通過向Mozilla STUN（NAT會話遍歷實用程序）服務器觸發WebRTC請求（web通信協議）來泄露用戶的本地IP地址。

然后，STUN服務器發送一個ping，其中包含客戶端的IP地址和端口。如果目標的IP地址在目標范圍內，則目標會收到一個在PNG圖像元數據中隱藏的虛假廣告攻擊代碼。

惡意代碼最終會將訪問者重定向到一個托管DNSChanger的網頁，該網頁使用適用于Windows和Android的Chrome瀏覽器提供第二個隱藏在路由器攻擊代碼中的圖像。“這種攻擊是由偵察階段檢測到的特定路由器模型決定的，”Proofpoint研究人員在一篇博客文章中寫道。“如果沒有已知的漏洞，攻擊將嘗試使用默認憑據”。

受影響路由器列表

然后，攻擊會隱藏流量，并將訪問的路由器與用于確定目標是否使用易受攻擊路由器模型的166個指紋進行比較。據研究人員稱，一些易受攻擊的路由器包括：

• D-Link DSL-2740R
• NetGear WNDR3400v3（以及本系列中可能的其他型號）
• Netgear R6200
• COMTREND ADSL路由器CT-5367 C01_R12
• 倍耐力ADSL2/2+無線路由器P.DGA4001N

目前尚不清楚有多少人接觸到了這些惡意廣告，也不清楚這場運動已經持續了多長時間，但Proofpoint表示，這場運動背后的攻擊者此前對每天感染100多萬人負有責任。

Proofpoint沒有披露任何顯示惡意廣告的廣告網絡或網站的名稱。

建議用戶確保其路由器運行最新版本的固件，并使用強密碼進行保護。它們還可以禁用遠程管理，更改其默認本地IP地址，并將受信任的DNS服務器硬編碼到操作系統網絡設置中。