DNSChanger卷土重来，家用路由器当心了

暑假快来了，各类打折活动即将到来，与此同时，新型的恶意软件已经上线。

DNSChanger这个名字，大家或许有所耳闻。这款恶意软件曾在2012年感染了全世界范围内数百万台电脑。

近日，ProofPoint的研究人员发现了升级版的DNSChanger EK（漏洞利用工具包），它利用恶意广告传播。在感染用户设备后，这个漏洞利用套装将修改路由器DNS服务器条目，指向攻击者控制的恶意DNS服务器。感染后，若用户想访问某个网页，恶意DNS服务器可能将用户导向钓鱼网站。攻击者还可能植入广告、重新定向搜索结果、在网站上挂马等。

据ProofPoint发表的报告，升级版DNSChanger EK从十月底开始活跃，与最近的一系列恶意广告攻击活动有关。DNSChanger EK通过用户浏览器攻击路由器，它利用的并不是浏览器或设备的漏洞，而是家用路由器中的漏洞，而且似乎囊括了众多已知的路由器exploit。DNSChanger EK一般通过Windows台式机和Android设备中的Chrome浏览器展开攻击。但是，一旦路由器被攻击之后，所有连接该路由器的用户，无论其使用哪个操作系统和浏览器，都会遭受进一步的攻击。

DNSChanger EK攻击路由器的行为似乎与最近几波恶意广告攻击活动有关。在分析其攻击模式和感染链之后，研究人员得出结论，这些行为与2015年上半年出现的“跨站请求伪造Soho网址嫁接（CSRF Soho Pharming）”为同一攻击者（或组织）所为。

不过，对比2015年的活动，研究人员发现了最近这波攻击的新特点：

1. 内部地址的外部DNS解析

2. 用隐写术隐藏：

   1. AES密钥，用于解密fingerprint/默认凭证和本地解析的列表

   2. 攻击目标路由器的命令的部署

3. 新增十多个路由器exploit：现有166个fingerprint，其中有些影响了数个路由器型号，而在2015年，只有55个fingerprint。比如，针对“Comtrend
   ADSL Router CT-5367/5624”路由器的exploit几周前刚出现（2016年9月13日），而攻击大约始于10月28日。

4. 在36个案例中，这个漏洞利用工具包修改了网络规则，使外部地址可以访问管理端口，导致路由器可遭受进一步攻击，比如被Mirai僵尸网络感染等。

5. Android设备也已成为此类攻击的媒介。

攻击链：

攻击者通过合法网站中的恶意广告，诱捕用户的网络。

完整攻击过程如图所示：

下图展示研究人员捕获的流量：

攻击分析：

用户点击电脑端或手机端的恶意广告后，会向DNSChanger EK发送流量。

DNSChanger EK通过stun.services.mozilla[.]com向Mozilla STUN服务器发送WebRTC请求，获得用户的本地IP地址。如果用户的公共IP地址已知或者他们的本地IP不在目标范围，将向用户显示某第三方广告商发布的合法广告。否则，用户将看到一个恶意广告。JavaScript从PNG文件的注释字段中提取HTML代码，将用户重新定向至含有DNSChanger EK的页面。注意下图中的（1）图是假广告，而且并不是.jpg文件，而是PNG文件。

DNSChanger EK再次通过STUN请求核对用户的本地IP地址。随后，DNSChanger EK开始加载多个函数，并且用隐写术将一个AES密钥隐藏在一张小图片中。

这个密钥将被用于解密一个fingerprint列表，除去重复项后，该列表包含129个条目（完整列表见附件）。

用户的浏览器会尝试定位并识别网络中的路由器（上图）。浏览器运行搜索函数后，将向DNSChanger EK回传报告，DNSChanger EK将向浏览器返回指令，向路由器发起攻击。

浏览器搜索过程中发现的特定路由器模型，将决定攻击的具体方式：如果没有可用的exploit，将尝试默认登陆凭证（如admin:admin、admin:1234、admin:password、admin:12345等）；如果有可用的exploit，将修改路由器中的DNS条目，如果可能