Home routere under angreb i løbende malvertisement blitz

Når du læser disse ord, er ondsindede annoncer på legitime websteder målrettet besøgende med malware. Men at malware ikke inficerer deres computere, sagde forskere. I stedet får det usikrede routere til at oprette forbindelse til falske domæner.

Ved hjælp af en teknik kendt som steganografi, skjuler annoncer ondsindet kode i billeddata. Den skjulte kode omdirigerer derefter mål til websider, der er vært for DNSChanger, et udnyttelsessæt, der inficerer routere, der kører uovertruffen firmware eller er sikret med svage administrative adgangskoder. Når en router er kompromitteret, konfigurerer DNSChanger den til at bruge en angriberstyret domænenavn system server. Dette får de fleste computere på netværket til at besøge falske servere i stedet for serverne, der svarer til deres officielle domæne.

Patrick Wheeler, direktør for trusselsinformation for sikkerhedsfirmaet Proofpoint, fortalte Ars:

Disse fund er betydelige, fordi de tydeligt viser, at allestedsnærværende og ofte overset enheder bliver angrebet aktivt, og når de først er kompromitteret, kan disse enheder påvirke sikkerheden på alle enheder på netværket og åbne dem for yderligere angreb, pop-ups, malvertisering, osv. Derfor er det potentielle fodaftryk for denne form for angreb stort, og den potentielle påvirkning er betydelig.

Masser af bevægelige dele

Annoncerne kontrollerer først, om den besøgende's IP-adresse er inden for et målrettet interval, en opførsel, der er typisk for mange malvertiseringskampagner, der sigter mod at forblive uopdaget så længe som muligt. Hvis adressen ikke er den angriberen ønsker at målrette mod, viser de en lokkefugl-annonce uden nogen udnyttelseskode i den. I tilfælde af at IP-adressen er en, som angriberen ønsker at inficere, viser de en falsk annonce, der skjuler udnyttelseskode i metadataene til et PNG-billede. Koden får på sin side besøgende til at oprette forbindelse til en side, der er vært for DNSChanger, som igen kontrollerer besøgendes IP-adresse for at sikre, at den er inden for det målrettede interval. Når kontrollen er passeret, serverer det ondsindede websted et andet billede, der er skjult med routerens udnyttelseskode.

DNSChanger angrebskæde.
Forstørre / DNSChanger angrebskæde.

”Dette angreb bestemmes af den bestemte routermodel, der opdages i rekognoseringsfasen,” skrev en Proofpoint-forsker, der bruger moniker Kafeine i en blogindlæg. ”Hvis der ikke er nogen kendt udnyttelse, vil angrebet forsøge at bruge standardoplysninger.” I tilfælde af at der ikke er nogen kendte udnyttelse og ingen standardadgangskoder, afbrydes angrebet.

En falsk DNSChanger-annonce.
Forstørre / En falsk DNSChanger-annonce.

DNSChanger bruger et sæt kommunikationsprotokoller i realtid kendt som WebRTC at sende såkaldt STUN server anmodninger, der bruges i VoIP-kommunikation. Udnyttelsen er i sidste ende i stand til at tragtkode gennem Chrome-browseren til Windows og Android for at nå netværksruteren. Angrebet sammenligner derefter den tilgængelige router med 166 fingeraftryk af kendte sårbare router firmwarebilleder. Proofpoint sagde, at det ikke var muligt at navngive alle de sårbare routere, men en delvis liste inkluderer:

  • D-Link DSL-2740R
  • KOMTREND ADSL-router CT-5367 C01_R12
  • NetGear WNDR3400v3 (og sandsynligvis andre modeller i denne serie)
  • Pirelli ADSL2 / 2 + Trådløs router P.DGA4001N
  • Netgear R6200

De ondsindede annoncer leveres i bølger, der varer flere dage ad gangen gennem legitime annoncenetværk og vises på legitime websteder. Proofpoint's Wheeler sagde, at der ikke er nok oplysninger til at vide, hvor mange mennesker er blevet udsat for annoncerne, eller hvor længe kampagnen har kørt, men han sagde, at angriberen bag det tidligere har været ansvarlig for fejl, der ramte mere end 1 millioner mennesker a dag. Kampagnen var stadig aktiv, da dette indlæg blev forberedt. Proofpoint identificerede ikke nogen af ​​de annoncenetværk eller websteder, der leverede eller viste de ondsindede annoncer.

As Ars rapporterede i sidste uge, en lignende malvertiseringskampagne - billeder med skjult kode, der dobbeltkontrollerer IP-adresser - nåede også mere end 1 millioner mennesker om dagen. Proofpoint sagde, at de to kampagner ikke er relateret.

DNS-servere oversætter domænenavne såsom arstechnica.com til IP-adresser som 50.31.151.33, som computere har brug for at finde og få adgang til webstedet. Ved at ændre routerindstillinger til at bruge en angriber-kontrolleret server, kan DNSChanger få de fleste, hvis ikke alle, tilsluttede computere til at oprette forbindelse til impostor-websteder, der ligner de rigtige. Indtil videre ser det ud til, at den ondsindede DNS-server, der er brugt af DNSChanger, forfalsker IP-adresser for at aflede trafik fra store annoncebureauer til fordel for annoncenetværk kendt som Fogzy og TrafficBroker. Men serveren kunne til enhver tid opdateres for at forfalske søgninger efter Gmail.com, bankofamerica.com eller et andet sted. I et sådant scenarie ville HTTPS-beskyttelse heldigvis markere påbudsgiveren.

Det bedste forsvar mod disse angreb er at sikre, at routere kører den nyeste tilgængelige firmware og er beskyttet med en lang adgangskode, der er genereret tilfældigt eller gennem en teknik, der er kendt som diceware. Deaktivering af fjernadministration, ændring af dens lokale lokale IP-adresse kan også være nyttigt, og hardkodning af en betroet DNS-server i OS-netværksindstillingerne kan også være nyttige.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.