在任何网站上看到一双你喜欢的鞋的广告,即使是合法网站,即使你并不点击它,包含恶意程序的广告依旧可以感染你!并且不只是你的系统,还有连接到你的WIFI网络中的每个设备都将受到影响。而当下的我们对路由器有多么依赖,就不用多说了。
不久前,我们报道过一个新的恶意广告活动“ Stegano ” 。从 10 月开始,攻击者在主流新闻网站的广告图片像素中嵌入恶意代码并执行恶意操作。将恶意代码隐藏在定义像素透明度的参数(Alpha Channel)内 ,由于修改幅度较小,用户肉眼几乎无法发现图像的外观改变。
现在,安全公司 Proofpoint 研究人员发现攻击者开始利用该恶意广告“ Stegano ”技术传播恶意软件 DNSChanger。对!就是曾在2007年至2011年极其活跃的DNS劫持软件,和其他恶意软件不同,它并不依赖于浏览器或者设备漏洞,而是利用家庭或小型办公室的路由器漏洞。
其能更改 DNS 设置、劫持网络流量,进行中间人、欺诈、网络钓鱼攻击!在该软件鼎盛的时期,在世界各地感染了超过四百万台计算机。
所以,当受感染系统的用户在互联网看一个网站(例如:facebook.com)上,恶意的DNS服务器会告诉你去,另一个钓鱼网站。而钓鱼网站通常精心伪装成银行、证券、网络支付、电子商务、网络游戏等网站,骗取用户提交的帐号、密码等私密信息,从而窃取用户的财产。
计算机被引导到这个IP地址时,你看到的根本不是你想看的网站,而是一个广告或是要偷窃您信息的网站。DNS劫持的危害类似于无良导游不带您看风景却将您带到黑店买东西。此外,攻击者还可以注入广告,重新定向搜索结果,或尝试下载安装驱动。
Proofpoint的研究人员称,已经在超过166种不同型号的路由器发现了这种攻击。一旦它进入你的系统,并不针对浏览器。它的目标是运行未打补丁的固件或弱密码的路由器,获得你的路由器的控制权。
攻击原理
攻击者在主流网站的广告图片中隐藏恶意代码,点击广告会重定向受害者至恶意网页下载恶意软件 DNSChanger 开发套件。
包含恶意 JavaScript 代码的图片会触发 WebRTC (网络通信协议)向 Mozilla 的 STUN 服务器发送请求,STUN 服务器会返回一个 ping 值包含 IP 地址和客户端端口号。
如果目标的 IP 地址在攻击范围内,受害者将收到一个包含恶意代码的 PNG 图像广告,并再次使用恶意广告技术下载恶意软件 DNSChanger 。
恶意软件会利用路由器固件漏洞或者尝试破解弱密码入侵路由器。一旦路由器被入侵,恶意软件会改变 DNS 服务器设置,定向到攻击者控制下的恶意服务器。恶意 DNS 服务器可重定向网络流量至钓鱼网站。攻击者还可以注入广告、重定向搜索结果、尝试下载安装驱动等。
影响范围
目前,上百款路由器型号都受到影响,包括
· D-Link DSL-2740R
· NetGear WNDR3400v3 (一系列型号)
· Netgear R6200
· COMTREND ADSL Router CT-5367 C01_R12
· Pirelli ADSL2/2+ Wireless Router P.DGA4001N
目前,Proofpoint没有透露,哪些广告网络或网站上显示的广告包含恶意攻击。
Proofpoint研究人员:“有多少人暴露在恶意广告威胁下尚不清楚,但需要知道的是,在此前Stegano攻击每天感染超过100万人。”
物联网安全建议:用户要确保路由器都运行最新版本的固件,并使用强密码保护。或者禁用远程管理,更改其默认本地IP地址,并进行硬编码一个值得信赖的DNS服务器到操作系统的网络设置。
本文编译自thehackernews,转载请注明出处
点击阅读原文查看更多