<link rel = "stylesheet" id = "gtranslate-style-css" href = "https://websetnet.b-cdn.net/wp-content/plugins/gtranslate/gtranslate-style24.css" type = "text / css "media =" all ">

Domovské směrovače jsou v útoku v probíhajícím bludném útoku

Když čtete tato slova, škodlivé reklamy na legitimních webech cílí na návštěvníky malwarem. Podle vědců však tento malware nenapadá jejich počítače. Místo toho způsobuje připojení nezabezpečených směrovačů k podvodným doménám.

Použití techniky známé jako steganography, reklamy skryjí škodlivý kód v obrazových datech. Skrytý kód pak přesměruje cíle na webové stránky hostující DNSChanger, exploit kit, který infikuje směrovače běžící bez opravného firmwaru nebo jsou zabezpečeny slabými hesly správce. Jakmile je směrovač ohrožen, DNSChanger jej nakonfiguruje tak, aby používal útočník Domain Name System server. To způsobí, že většina počítačů v síti navštěvuje podvodné servery, spíše než servery odpovídající jejich oficiální doméně.

Patrick Wheeler, ředitel zpravodajství pro bezpečnostní firmu Proofpoint, řekl Arsovi:

Tato zjištění jsou důležitá, protože jasně demonstrují, že všudypřítomná a často přehlížená zařízení jsou aktivně napadána a jakmile se tyto zařízení stanou kompromisem, mohou mít vliv na bezpečnost všech zařízení v síti a otevírat je na další útoky, vyskakovací okna, atd. Potenciální dopad tohoto druhu útoku je tedy vysoký a potenciální dopad je významný.

Spousta pohyblivých částí

Reklamy nejprve zkontrolují, zda je IP adresa návštěvníka v cílovém rozsahu, což je typické chování mnoha reklamních kampaní, jejichž cílem je zůstat co nejdéle nezjištěno. Pokud adresa není taková, na kterou útočníci chtějí cílit, zobrazí se jim ozdobná reklama bez kódu zneužití. V případě, že IP adresa je taková, kterou útočníci chtějí infikovat, zobrazí falešnou reklamu, která v metadatech obrázku PNG skryje zneužívající kód. Kód zase způsobí, že se návštěvník připojí k stránce hostující DNSChanger, která znovu zkontroluje IP adresu návštěvníka, aby se ujistil, že je v cílovém rozsahu. Jakmile kontrola přejde, škodlivý web zobrazí druhý obrázek skrytý kódem zneužití směrovače.

DNSChanger útok řetězce.
Zvětšit / DNSChanger útok řetězec.

"Tento útok je určen konkrétním modelem routeru, který je detekován během průzkumné fáze," napsal výzkumník Proofpoint, který používá přezdívku Kafeine. blogu. "Pokud není známo zneužití, útok se pokusí použít výchozí pověření." V případě, že neexistují žádná známá zneužití a žádná výchozí hesla, útok se přeruší.

Falešná reklama DNSChanger.
Zvětšit / Falešná reklama DNSChanger.

DNSChanger používá sadu komunikačních protokolů v reálném čase známých jako webRTC poslat tzv STUN server požadavky používané při komunikaci VoIP. Vykořisťování je v konečném důsledku schopno přenést kód pomocí prohlížeče Chrome pro Windows a Android a dostat se k síťovému routeru. Útok poté porovná přístupový router s 166 otisky prstů známých zranitelných obrazů firmwaru routeru. Proofpoint řekl, že nebylo možné pojmenovat všechny zranitelné směrovače, ale částečný seznam obsahuje:

  • D-Link DSL-2740R
  • COMTREND ADSL směrovač CT-5367 C01_R12
  • NetGear WNDR3400v3 (a pravděpodobně další modely v této řadě)
  • PIRELLI ADSL2 / 2 + bezdrátový router P.DGA4001N
  • Netgear R6200

Škodlivé reklamy se zobrazují ve vlnách trvajících několik dní najednou prostřednictvím legitimních reklamních sítí a zobrazují se na legitimních webech. Proofpoint's Wheeler uvedl, že není dostatek údajů k tomu, aby věděl, kolik lidí bylo reklamám vystaveno nebo jak dlouho kampaň běží, ale řekl, že útočníci za tím byli dříve zodpovědní za špatné reklamy, které zasáhly více než 1 milion lidí a den. Kampaň byla v době přípravy tohoto příspěvku stále aktivní. Společnost Proofpoint neidentifikovala žádnou z reklamních sítí nebo webů, které doručují nebo zobrazují škodlivé reklamy.

As Ars oznámil minulý týden, podobná kampaň proti malwaru - obrázky se skrytým kódem, které znovu zkontrolují IP adresy - oslovila také více než 1 milion lidí denně. Proofpoint řekl, že obě kampaně nesouvisí.

Servery DNS překládají názvy domén, jako je arstechnica.com, do adres IP, jako je například 50.31.151.33, které musí počítače najít a přistupovat k webu. Změnou nastavení směrovače pro použití serveru řízeného útočníkem může způsobit, že DNSChanger způsobí, že většina připojených počítačů, ne-li všichni, se připojí k podvodníkům, které vypadají stejně jako skutečné. Zatím se zdá, že škodlivý server DNS používaný službou DNSChanger je falešnými adresami IP, které mají přesměrovat provoz z velkých reklamních agentur ve prospěch reklamních sítí známých jako Fogzy a TrafficBroker. Server však mohl být kdykoli aktualizován, aby bylo možné zfalšovat vyhledávání Gmail.com, bankofamerica.com nebo jakéhokoli jiného webu. V takovém scénáři by protesty HTTPS naštěstí vlajku podvodníka.

Nejlepší obranou proti těmto útokům je zajistit, aby směrovače používaly nejnovější dostupný firmware a byly chráněny dlouhým heslem generovaným náhodně nebo pomocí techniky známé jako diceware. Zakažení vzdálené správy, změna výchozí místní adresy IP může být také užitečné a také může být užitečné hardcoding důvěryhodného serveru DNS do nastavení sítě OS.

Zdroj

Zanechat komentář