网络罪犯开发了一种基于Web的攻击工具,当用户访问受感染网站或查看恶意广告时,该工具将大规模劫持路由器。
这种攻击的目标是使用攻击者控制的流氓服务器来取代路由器中配置的DNS(域名系统)服务器,这让攻击者可以拦截流量、欺骗网站、劫持搜索查询、注入恶意广告到网页等。
DNS就像是互联网的电话簿,它发挥着关键作用。它将域名(方便用户记住)转换成数字IP(互联网协议)地址,让计算机可互相通信。
DNS以分级的方式运作。当用户在浏览器中输入网站的名称,浏览器会向操作系统请求该网站的IP地址。然后操作系统会询问本地路由器,查询其中配置的DNS服务器—通常是由互联网服务提供商运行的服务器。接着,该请求到达权威服务器来查询域名或者服务器会从缓存中提供该信息。
如果攻击者进入这个过程中,他们可以回复一个流氓IP地址。这会欺骗浏览器去寻找不同服务器的网站;例如攻击者可以制造假的网站来窃取用户的登录信息。
独立安全研究人员Kafeine最近观察到从受感染网站发出的路过式攻击,用户重定向到罕见的基于Web的漏洞利用工具包,该工具包专门用来破坏路由器。
这些漏洞利用工具包通常在地下市场进行销售,由攻击者用来瞄准过时浏览器插件中的漏洞,包括Flash Player、Java、Adobe Reader或Silverlight。其目标是在没有更新软件的计算机上安装恶意软件。
这种攻击通常是这样运作:恶意代码注入到受感染网站或恶意广告中,重定向用户的浏览器到攻击服务器,确定其操作系统、IP地址、地理位置、浏览器类型、已安装的插件和其他详细信息。基于这些信息,服务器然后会从其武器库选择并启动漏洞利用攻击包。
Kafeine观察到的攻击则不痛。谷歌Chrome用户被重定向到恶意服务器,该服务器会加载代码旨在确定这些用户使用的路由器型号,并取代该设备中配置的DNS服务器。
很多用户认为,如果其路由器没有设置进行远程管理,攻击者就无法从互联网利用其Web管理界面的漏洞,因为这种界面只能从本地网络内进行访问。
但并不是这样。这种攻击利用被称为跨站点请求伪造(CSRF)的技术,让恶意网站迫使用户的浏览器在不同的网站执行恶意操作。目标网站可以是路由器的管理界面--只能通过本地网站访问的。
互联网中很多网站已经部署了抵御CSRF的防御措施,但路由器仍然缺乏这种保护。
Kafeine发现的路过式攻击工具包利用CSRF来检测来自不同供应商的40多种路由器型号,这些供应商包括Asustek Computer、Belkin、D-Link、Edimax Technology、Linksys、Medialink、微软、Netgear、深圳吉祥腾达公司、TP-Link Technologies、Netis Systems、Trendnet、ZyXEL Communications和Hootoo。
根据检测到的型号,该攻击工具会利用已知命令注入漏洞或利用共同管理登录凭证来改变路由器的DNS设置。其中也利用了CSRF。
如果该攻击成功的话,路由器的主DNS服务器设置为由攻击者控制的服务器,而次级服务器(用于故障恢复)则设置为谷歌的公共DNS服务器。这样的话,如果恶意服务器临时停机,路由器仍然有完善的DNS服务器来解析查询(+本站微信networkworldweixin),用户也不会怀疑和重新配置该设备。
根据Kafeine表示,这种攻击中利用的漏洞之一影响着来自多个供应商的路由器。有些供应商已经发布了固件更新,但在过去几个月中,更新的路由器数量仍然非常低。
大部分路由器需要手动更新,这个过程可能需要一些专业技能,这也是为什么很多路由器没有更新的原因。
攻击者也知道这一点。事实上,这个漏洞利用工具包瞄准的漏洞还包括2008年和2013年的两个漏洞。
这个攻击似乎已经大规模执行。根据Kafeine表示,在五月的第一周,攻击服务器每天大约有25万访问用户,峰值在5月9号达到100万。其中影响最大的国家是美国、俄罗斯、澳大利亚、巴西和印度。
为了保护自身,用户应该定期检查制造商网站中针对其路由器型号的固件更新,并进行安装。如果路由器允许的话,他们还应该限制管理界面的访问到通常没有设备会使用的IP地址,但在需要更改路由器的设置时他们可以手动分配到其计算机。