巴西最大報(bào)社網(wǎng)站路由被黑,DNS遭篡改
責(zé)編:admin |2014-09-16 13:36:45日前,網(wǎng)絡(luò)安全公司SECURI發(fā)布報(bào)告稱,Politica Estadao網(wǎng)站嵌入的iframe中夾帶了一個(gè)針對(duì)家用路由器admin用戶密碼的暴力破解模塊。在9月2日類似的攻擊方式曾由卡巴斯基實(shí)驗(yàn)室的Fabio Assolini報(bào)告過(guò),并表示他曾發(fā)現(xiàn)過(guò)類似的重定向攻擊導(dǎo)致受害人訪問(wèn)了冒充巴西銀行的釣魚(yú)網(wǎng)站的事件。????
“截止到目前,這個(gè)‘基于網(wǎng)絡(luò)’的方式對(duì)于巴西人來(lái)說(shuō)還算是一種比較新的攻擊方式,我們相信這種方式將會(huì)迅速蔓延而且受害者的數(shù)量會(huì)急劇增長(zhǎng)。”Assolini在他的blog中如是說(shuō)。
Assolini表示,攻擊最開(kāi)始的時(shí)候是受害者(大多數(shù)來(lái)自于巴西和美國(guó))點(diǎn)了一封釣魚(yú)Email中的惡意鏈接,該鏈接指向一個(gè)成人網(wǎng)站,而該成人網(wǎng)站后臺(tái)運(yùn)行了一個(gè)惡意的script文件,該腳本文件首先用默認(rèn)密碼猜解路由器的密碼,如果不對(duì),便會(huì)請(qǐng)求受害人的無(wú)線接入點(diǎn)的憑據(jù)。
Assolini說(shuō):“這次攻擊中,我們?cè)谕泄艿尼烎~(yú)銀行網(wǎng)站中找到了5個(gè)域名和9臺(tái)DNS服務(wù)器。”同時(shí),SECURI公司的人告訴記者,該攻擊方式與這一次的 Estadao的攻擊方式并沒(méi)有太大的不同。
SECURI的研究員Fioravante告訴我們,當(dāng)受害者瀏覽網(wǎng)站的時(shí)候,payload(攻擊載荷)將一直嘗試用admin、root、gvt等常用的username和默認(rèn)密碼登陸路由器,一刻也不停歇。
嵌入式框架攻擊(iframe attack)是一種流行的攻擊方式。受到影響的網(wǎng)站通常會(huì)嵌入一個(gè)iframe,該iframe會(huì)將受害者的瀏覽網(wǎng)頁(yè)重定向到一個(gè)黑客控制的網(wǎng)站,同時(shí)靜默下載一些惡意軟件或者直接重定向到一個(gè)釣魚(yú)網(wǎng)站。
“我們經(jīng)常花費(fèi)很多時(shí)間去討論web服務(wù)器感染或者下載的驅(qū)動(dòng)問(wèn)題,但是卻極少聊到其他的可能惡意行為。而這(釣魚(yú)攻擊)僅僅是駭客大規(guī)模可用的攻擊方式的一個(gè)小例子而已。”Souza說(shuō)。
Souza的分析指出,隱藏的第一個(gè)iframe注入加載了一些laspeores.com中的內(nèi)容,接著第二個(gè)iframe加載了一個(gè)vv2.com生成的一個(gè)短鏈接,然后第三個(gè)iframe中包含了一個(gè)惡意的JS腳本文件,該腳本重定向了一個(gè)第三方網(wǎng)站。
“腳本首先獲取受害者的本地IP地址,”Souza說(shuō),“然后,根據(jù)這個(gè)本地IP猜測(cè)路由器的IP地址,并使用另外的腳本文件對(duì)路由器進(jìn)行下一步的猜解過(guò)程。”
黑客們深知家庭或者小型企業(yè)使用個(gè)路由器中的大部分都有一些不同等級(jí)的漏洞,其中很多更是直接使用弱口令便可以直接登錄路由器。
因此,一個(gè)攻擊者便可以通過(guò)更改DNS將受害者的流量劫持到攻擊者控制的服務(wù)器上面,從而使得受害者的一些賬號(hào)密碼很容易被竊取。
截止到2013年底,這種修改家庭或者小型企業(yè)路由DNS以劫持受害者流量到惡意網(wǎng)站的中間人攻擊方式已經(jīng)成為一種廣為人知的方式。
Team Cymru發(fā)表了攻擊報(bào)告,報(bào)告表明,超過(guò)30萬(wàn)臺(tái)的路由器受到了波及,而這些路由器很多來(lái)自于一些知名的制造商比如D-LINK、TP-LINK等。研究人員還說(shuō),這與今年春天在波蘭爆發(fā)的大規(guī)模銀行攻擊事件十分類似,但是應(yīng)該是不同的黑客團(tuán)伙進(jìn)行的。而上次的針對(duì)波蘭銀行的攻擊方式正是通過(guò)劫持受害者的DNS從而盜取受害者的銀行賬戶和密碼。
在上個(gè)月的DEFCON會(huì)議上,列舉了很多我們身邊的SOHO路由器的安全問(wèn)題。在大賽期間,有15個(gè)0day漏洞被披露并證實(shí)存在,其中七成與路由器相關(guān),而其他的攻擊方式也會(huì)導(dǎo)致內(nèi)網(wǎng)信息泄露。Tripwire的研究員Craig是會(huì)議的最大贏家,他說(shuō):很多路由器缺乏服務(wù)器認(rèn)證,而是直接在瀏覽器上面進(jìn)行身份驗(yàn)證,而獲取到這些密碼其實(shí)并不困難。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!