Домашні маршрутизатори піддаються нападу в ході блискавки в масову рекламу

Коли ви читаєте ці слова, зловмисні оголошення на законних веб-сайтах націлюють відвідувачів із шкідливими програмами. Але, що шкідливі програми не заражають їхні комп'ютери, дослідники сказали. Замість цього він забезпечує зв'язок незахищених маршрутизаторів з шахрайськими доменами.

Використання техніки, відомої як стеганографія, оголошення приховують шкідливий код у даних зображень. Після цього прихований код перенаправляє цілі на веб-сторінки, на яких розміщено DNSChanger, комплект експлуатації, який заражає маршрутизатори, що працюють під керованими прошивками або захищені слабкими адміністративними паролями. Після того, як маршрутизатор скомпрометований, DNSChanger налаштовує його для керування зловмисником система доменних імен сервер. Це призводить до того, що більшість комп'ютерів у мережі відвідують шахрайські сервери, а не сервери, що відповідають їх офіційному домену.

Патрік Уілер, директор з розвідки загроз для компанії Proofpoint, повідомив Ars:

Ці висновки є важливими, оскільки вони чітко демонструють, що повсюдні та часто пропускаються пристрої активно атакуються, і коли вони скомпрометовані, ці пристрої можуть впливати на безпеку кожного пристрою в мережі, відкриваючи їх для подальших атак, спливаючих вікон, реклами, і т.д. Таким чином, потенціал цього виду атаки є високим, і потенційний вплив є значним.

Багато рухомих частин

Оголошення спочатку перевіряють, чи IP-адреса відвідувача знаходиться в межах цільового діапазону, а це поведінка, яка типова для багатьох кампаній з рекламою, які мають на меті залишитися непоміченими як можна довше. Якщо адреса не є такою, яку націлювачі хочуть націлити, вони показують об’яву із примусовою рекламою, у якій немає коду використання. У випадку, якщо IP-адреса є такою, яку зловмисники хочуть заразити, вони обслуговують фальшиву рекламу, яка приховує код використання в метаданих зображення PNG. Код, у свою чергу, змушує відвідувача підключитися до сторінки, на якій розміщено DNSChanger, який знову перевіряє IP-адресу відвідувача, щоб переконатися, що він знаходиться в межах цільового діапазону. Після того, як чек проходить, шкідливий сайт подає друге зображення, приховане за допомогою коду експлуатації маршрутизатора.

DNSC ланцюг атаки.
Збільшити / DNSC ланцюг атаки.

"Ця атака визначається конкретною моделлю маршрутизатора, яка виявляється під час фази розвідки", - дослідник Proofpoint, який використовує псевдонім Kafeine. блог. "Якщо немає відомого експлуатата, то атака буде намагатися використовувати облікові дані за замовчуванням". У випадку, якщо не відомо жодних експлуататів і не встановлено паролів за замовчуванням, атака переривається.

Підроблена реклама DNSChanger.
Збільшити / Підроблена реклама DNSChanger.

DNSChanger використовує набір протоколів зв'язку в реальному часі, відомих як webRTC надіслати так звані STUN сервер запитів, що використовуються в комунікаціях VoIP. У кінцевому підсумку, exploit може передати код через браузер Chrome для Windows і Android, щоб досягти мережевого маршрутизатора. Атака потім порівнює доступний маршрутизатор до відбитків пальців 166 відомих уразливих зображень прошивки маршрутизатора. Proofpoint сказав, що неможливо назвати всіх вразливих маршрутизаторів, але частковий список включає:

  • D-Link DSL-2740R
  • Маршрутизатор COMTREND ADSL CT-5367 C01_R12
  • NetGear WNDR3400v3 (і, ймовірно, інші моделі цієї серії)
  • Pirelli ADSL2 / 2 + Бездротовий маршрутизатор P.DGA4001N
  • Netgear R6200

Шкідливі об’яви доставляються хвилями тривалістю декілька днів за допомогою законних рекламних мереж і відображаються на законних веб-сайтах. Компанія "Уілер" компанії Proofpoint заявила, що немає достатньо даних, щоб дізнатися, скільки людей було виставлено на об'яви, або як довго проводилася кампанія, але він сказав, що злочинці, які потрапили за нього, раніше були відповідальними за рекламування, що перевищило кількість мільйонів 1 день. Кампанія була ще активною на момент підготовки цієї посади. Proofpoint не виявив жодної рекламної мережі чи веб-сайтів, які надають або показують шкідливі оголошення.

As Арс повідомив минулого тижняаналогічна кампанія з рекламою зловмисників - зображення з прихованим кодом, які двічі перевіряють IP-адреси - також досягли більш ніж 1 мільйонів осіб на день. Proofpoint сказав, що дві кампанії не пов'язані між собою.

DNS-сервери переводять імена доменів, такі як arstechnica.com, в IP-адреси, такі як 50.31.151.33, які комп'ютери повинні знайти і отримати доступ до сайту. Змінюючи параметри маршрутизатора, використовуючи сервер, керований зловмисником, DNSChanger може викликати підключення більшості, якщо не всіх, комп'ютерів до сайтів-самозванців, які виглядають так само, як реальні. Поки що, зловмисний DNS-сервер, який використовується DNSChanger, здається, фальсифікує IP-адреси, щоб перенаправляти трафік з великих рекламних агентств на користь рекламних мереж, відомих як Fogzy і TrafficBroker. Але сервер може бути оновлений у будь-який час, щоб сфальсифікувати пошук для Gmail.com, bankofamerica.com або будь-якого іншого сайту. У такому сценарії, на щастя, HTTPS захист позначає самозванця.

Найкращий захист від цих атак полягає в тому, щоб забезпечити роботу маршрутизаторів з останніми доступними прошивками і захищені довгим паролем, який генерується випадковим чином або за допомогою техніки, відомої як Diceware. Вимкнення віддаленого адміністрування, зміна локальної IP-адреси за замовчуванням також може бути корисним, а також може бути корисним жорстке кодування надійного DNS-сервера в мережевих настройках ОС.

джерело

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.