日前,网络安全公司SECURI发布报告称,Politica Estadao网站嵌入的iframe中夹带了一个针对家用路由器admin用户密码的暴力破解模块。在9月2日类似的攻击方式曾由卡巴斯基实验室的Fabio Assolini报告过,并表示他曾发现过类似的重定向攻击导致受害人访问了冒充巴西银行的钓鱼网站的事件。
“截止到目前,这个‘基于网络’的方式对于巴西人来说还算是一种比较新的攻击方式,我们相信这种方式将会迅速蔓延而且受害者的数量会急剧增长。”Assolini在他的blog中如是说。
Assolini表示,攻击最开始的时候是受害者(大多数来自于巴西和美国)点了一封钓鱼Email中的恶意链接,该链接指向一个成人网站,而该成人网站后台运行了一个恶意的script文件,该脚本文件首先用默认密码猜解路由器的密码,如果不对,便会请求受害人的无线接入点的凭据。
Assolini说:“这次攻击中,我们在托管的钓鱼银行网站中找到了5个域名和9台DNS服务器。”同时,SECURI公司的人告诉记者,该攻击方式与这一次的 Estadao的攻击方式并没有太大的不同。
SECURI的研究员Fioravante告诉我们,当受害者浏览网站的时候,payload(攻击载荷)将一直尝试用admin、root、gvt等常用的username和默认密码登陆路由器,一刻也不停歇。
嵌入式框架攻击(iframe attack)是一种流行的攻击方式。受到影响的网站通常会嵌入一个iframe,该iframe会将受害者的浏览网页重定向到一个黑客控制的网站,同时静默下载一些恶意软件或者直接重定向到一个钓鱼网站。
“我们经常花费很多时间去讨论web服务器感染或者下载的驱动问题,但是却极少聊到其他的可能恶意行为。而这(钓鱼攻击)仅仅是骇客大规模可用的攻击方式的一个小例子而已。”Souza说。
Souza的分析指出,隐藏的第一个iframe注入加载了一些laspeores.com中的内容,接着第二个iframe加载了一个vv2.com生成的一个短链接,然后第三个iframe中包含了一个恶意的JS脚本文件,该脚本重定向了一个第三方网站。
“脚本首先获取受害者的本地IP地址,”Souza说,“然后,根据这个本地IP猜测路由器的IP地址,并使用另外的脚本文件对路由器进行下一步的猜解过程。”
黑客们深知家庭或者小型企业使用个路由器中的大部分都有一些不同等级的漏洞,其中很多更是直接使用弱口令便可以直接登录路由器。
因此,一个攻击者便可以通过更改DNS将受害者的流量劫持到攻击者控制的服务器上面,从而使得受害者的一些账号密码很容易被窃取。
截止到2013年底,这种修改家庭或者小型企业路由DNS以劫持受害者流量到恶意网站的中间人攻击方式已经成为一种广为人知的方式。
Team Cymru发表了攻击报告,报告表明,超过30万台的路由器受到了波及,而这些路由器很多来自于一些知名的制造商比如D-LINK、TP-LINK等。研究人员还说,这与今年春天在波兰爆发的大规模银行攻击事件十分类似,但是应该是不同的黑客团伙进行的。而上次的针对波兰银行的攻击方式正是通过劫持受害者的DNS从而盗取受害者的银行账户和密码。
在上个月的DEFCON会议上,列举了很多我们身边的SOHO路由器的安全问题。在大赛期间,有15个0day漏洞被披露并证实存在,其中七成与路由器相关,而其他的攻击方式也会导致内网信息泄露。Tripwire的研究员Craig是会议的最大赢家,他说:
很多路由器缺乏服务器认证,而是直接在浏览器上面进行身份验证,而获取到这些密码其实并不困难。
[本文参考来源http://threatpost.com/hacked-political-news-site-targets-router-dns-settings]