安全公司ProofPoint的研究人員于上周二發(fā)布了一個(gè)報(bào)告,報(bào)告中指出黑客正在通過(guò)更改DNS設(shè)置劫持巴西網(wǎng)民的網(wǎng)絡(luò)連接���。攻擊者主要是利用家用路由器中存在的安全漏洞入侵�����,然后修改路由器DNS設(shè)置�����,這種攻擊被稱為pharming(網(wǎng)址嫁接攻擊)�。
網(wǎng)址嫁接攻擊:
網(wǎng)址嫁接攻擊是一種重新導(dǎo)向的詐騙技巧,由網(wǎng)絡(luò)釣魚(yú)衍生而來(lái)�。主要通過(guò)在網(wǎng)頁(yè)中植入木馬或者利用域名服務(wù)器上的漏洞將受害者錯(cuò)誤的引導(dǎo)到偽造的網(wǎng)站中,并伺機(jī)竊取證書(shū)和敏感信息����。
通常情況下,網(wǎng)址嫁接攻擊的成功率非常高�,一般不會(huì)被發(fā)現(xiàn)。通過(guò)更改路由器的DNS設(shè)置,受害者只要輸入真實(shí)域名或者合法網(wǎng)站地址,攻擊者就可將其重定向到一個(gè)偽造網(wǎng)站上���。另外攻擊者還可以利用pharming(網(wǎng)址嫁接攻擊)發(fā)動(dòng)中間人攻擊�����,例如攔截網(wǎng)站上的郵件����、登錄名和密碼����,或者劫持用戶的搜索結(jié)果等。
從釣魚(yú)開(kāi)始發(fā)起CSRF攻擊
安全研究人員從2014年12月份就開(kāi)始觀察這種行為了�����,他們發(fā)現(xiàn)攻擊主要是從一封垃圾郵件開(kāi)始的,并且查到這封垃圾郵件是從巴西最大的電信公司發(fā)出的��,發(fā)送對(duì)象是UTStarcom和TP-Link家用路由器用戶��。這些郵件中都包含一個(gè)惡意鏈接����,一旦受害者點(diǎn)擊了這個(gè)鏈接,就會(huì)被重定向到一個(gè)含有該路由器跨站請(qǐng)求偽造(CSRF)漏洞利用程序(exploit)的頁(yè)面上�����。
攻擊成功后����,攻擊者即獲得了路由器控制臺(tái)的訪問(wèn)權(quán)限,他們會(huì)使用默認(rèn)密碼或暴力破解設(shè)備����,把路由器初始DNS服務(wù)器的IP地址更改為惡意的DNS IP地址。
以前����,攻擊者會(huì)把primary和secondaryDNS記錄都修改掉�,但是據(jù)最近的觀察發(fā)現(xiàn)���,攻擊者只會(huì)更改primaryDNS��,而secondary DNS則會(huì)設(shè)置成谷歌公共DNS 8.8.8.8�。
網(wǎng)址嫁接式攻擊不易被發(fā)現(xiàn)����,而且成功率非常高。所以建議用戶使用老辦法:更改路由器密碼��,越復(fù)雜越好����。
