路由器

DNS 劫持攻擊情況4.4.2.1　簡介
DNS，即 Domain Name System（域名系統），是一種將域名解析為計算機能夠識別的網絡地址
（IP 地址）的系統，是 Internet 的重要組成部分。DNS 劫持指 DNS 服務器的擁有者（或攻擊者）惡意將某 域名指向錯誤的 IP 地址。攻擊者進行 DNS劫持的流程為：首先對暴露在互聯網
上的存在未授權 DNS修改漏洞的路由器進行 攻擊，將其 DNS服務器地址改為攻擊者的惡意 DNS服務器；之后，當用戶訪問攻擊者劫持的域名時， 會訪問到釣魚網站，頁面中會誘導用戶輸入賬號密碼、銀行卡號等敏感信息；最后，攻擊者利用收集到 的敏感信息獲利。DNS劫持危害主要有以下五點：
（1）無法訪問某些域名，表現為連接超時等。
（2）訪問某些域名時跳轉到其他網站。
（3）當訪問到錯誤的域名時，跳轉到廣告頁面。
（4）訪問某些域名時，頁面增加了廣告信息。主要針對靜態網頁。
（5）劫持到模仿真實網站做成的假網站，從而竊取用戶名、密碼甚至銀行卡卡號、密碼等惡意行為。
前四點會為用戶帶來糟糕的體驗，以及為 DNS 擁有者帶來一筆不菲的收入。而最后一點直接威脅 到用戶的數據乃至財產安全，是非常嚴重的。
4.4.2.2　攻擊趨勢分析
我們對綠盟威脅捕獲系統中的 DNS劫持相關攻擊事件進行了分析，如圖 4.13 所示，2020 年 1月至今， 我們共捕獲到 2 起 DNS 劫持行為。第一起攻擊主要集中在 5 月 24 日，攻擊源只有 1 個，第二起攻擊 在 8 月 18 日首次被我們捕獲到，之后一直處于活狀態。由于第一起攻擊事件持續時間短并且攻擊源 唯一，因此，下文除攻擊手法分析外，均針對第二起事件進行分析。

4.4.2.3　攻擊手法分析
第一起 DNS劫持事件：
在第一起劫持事件中，攻擊源只有一個，在短時間內進行了全球范圍的攻擊，目標端口是 80 和 8080，共使用了 4 類遠程 DNS修改（Remote DNS Change）漏洞。下面具體介紹下這 4 類遠程攻擊：
🅙 漏洞 1 攻擊情況介紹 [^1]
攻擊手法：

GET /dnscfg.cgi?dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1

目標端口：80、8080
目標設備：我們在 Exploit-DB中共發現 18 條相關的記錄 [^2]，涉及多個廠商的路由器，包括 D-Link、 UTstarcom、Beetel、iBall Baton、Tenda、Pirelli、Exper、ASUS、COMTREND、PLANET、inteno、 TP-LINK、Shuttle Tech 等。

🅙 漏洞 2 攻擊介紹
攻擊手法：

GET /Forms/dns_1?Enable_DNSFollowing=1&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8

目標端口：80、8080
目標設備：D-Link DSL-2640R（EDB-ID: 43678）、DSL-2740R（EDB-ID: 35917）。
🅙 漏洞 3 攻擊介紹
攻擊手法：

GET /ddnsmngr.cmd?action=apply&service=0&enbl=0&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8& dnsDynamic=0&dnsRefresh=1&dns6Type=DHCP

目標端口：80、8080
目標設備：D-Link DSL-2640B（EDB-ID: 36105）。 🅙 漏洞 4 攻擊介紹
攻擊手法：

GET /go[for](http://github5.com/search?f=p&wd=for)m/AdvSetDns?GO=wan_dns.asp&rebootTag=&DSEN=1&DNSEN=on&DS1=111.90.159.53& DS2=8.8.8.8 HTTP/1.1

目標端口：8080
目標設備：我們在 Exploit-DB中共發現 7 條相關的記錄，涉及多個廠商的路由器，包括 Secutech、 Tenda、Unicon 等。
第二起 DNS劫持事件
在第二起劫持事件中，攻擊源有 57 個，8 月 18 日起持續進行全球范圍的攻擊，目標端口是 80、81、82、8080 和 8182，攻擊方式唯一，采用了上一節提到的漏洞 1。
攻擊手法：

GET /dnscfg.cgi?dnsPrimary=149.56.152.185&dnsSecondary8.8.4.4&dnsDynamic=0&dnsRefresh=1

從上述攻擊手法中我們也可以看到，攻擊者在 dnsSecondary 和 8.8.4.4 之間忘記寫“=”了，這將 導致目標設備的 dnsSecondary 并不會被攻擊者所改變。
4.4.2.4　攻擊源分析

在第二起攻擊事件中，我們共捕獲到 57 個攻擊源的 68.4% 的攻擊源位于荷蘭，其余攻擊源位于美國。我們發現這些 屬 ISP 為 DIGITALOCEAN-ASN。綠盟威脅情報中心的數據顯示， 個合理的推測是，這些 IP 所屬主機存在漏洞，被攻擊者攻破后進行
DNS 篡改行為，這些攻擊源分布很集中， IP 均來自同一 ASN（AS14061），所
80.1% 的 IP 均有 IDC標簽。因此，一 DNS劫持攻擊。

圖 4.14 是攻擊源主要開放的端口的分布情況，這些攻擊源中，大部分開放了 22、443 和 80 端口。

圖 4.14　攻擊源主要開放端口分布情況
4.4.2.5　DNS 劫持目標分析
在第二起攻擊事件中，攻擊者的攻擊目標主要為巴西電子郵箱類（如 terra.com.br）、銀行類（如50)
bradesco.com.br、caixa.gov.br、santander.com.br），還有和財產相關的通用娛樂電商支付平臺類（如 netflix.com、Americanas.com.br、paypal.com）。采集的個人信息包括電子郵箱賬戶、支票賬戶、網 絡銀行賬號、銀行卡號和相關銀行卡信息及其密碼等。另外，還有 CPF 碼（巴西納稅人標識）以及持 卡人姓名等?？梢姽粽吣繕嗣鞔_，對財產方面感興趣。另外我們注意到 [23]，有攻擊者在 2019 年 3 月， 也對類似的域名進行過劫持。
所有的假頁面有一些共同點：
一是 HTML結構簡單，幾乎無 CSS，而用整頁圖片替代，如圖 4.15 所示，攻擊者的偽造頁面其實 是一張圖片；
二是采用 PHP 生成網頁，還有少量 JavaScript 文件用于檢測輸入信息的合法性； 三是僅有登陸功能可用，其余大部分超鏈接無法使用或者鏈接到 404 頁面； 四是均為 HTTP 協議，無法通過 HTTPS 訪問；
五是大部分網頁為葡萄牙語（巴西官方語言），被攻擊的域名也以巴西域名（br 后綴）為主，且發 現了用葡萄牙語編寫的代碼，猜測攻擊者為巴西人可能性較大。
圖 4.15　CAIXA銀行的真實頁面（左）和攻擊者偽造頁面（右）
4.4.2.6　潛在受影響設備暴露情況分析
通過 Exploit-DB，我們可以獲取存在遠程 DNS修改漏洞的設備廠商和型號，因此，本節將從這兩個 角度對潛在受影響的設備進行評估，數據來自綠盟威脅情報中心。由于劫持目標與巴西有關，除分析全 球受影響情況外，我們也對巴西的受影響設備的分布情況進行了分析。

圖 4 16 是潛在受影響的設備型號的分布情況，在我們可識別的設備中，真正暴露在巴西的主要是 Beetel 公司的 BCM96338 型號的路由器，但其暴露數量也僅為 361 臺，因而受影響的用戶較少。

圖 4.16　潛在受影響設備暴露情況（設備廠商 -型號）
圖 4.17 是潛在受影響的設備廠商的分布情況，之所以從這個角度來考慮，是因為 Exploit-DB的數 據僅為互聯網上披露出來的數據，但一個廠商設備型號眾多，未必會被全面進行測試，未被披露的型號 同樣可能存在相同的漏洞。從圖 4.17 可以看出，TP-LINK、ASUS和 D-Link路由器的全球暴露數量均超 過百萬，而在巴西，這三個廠商的設備也有一定的暴露面。但是這些設備有多少的 DNS 可被篡改，我 們尚未驗證。

圖 4.17　潛在受影響設備暴露情況（設備廠商）

參考資料

綠盟 2020物聯網安全年報

友情鏈接

GB-T 36630.3-2018 信息安全技術 信息技術產品安全可控評價指標 第3部分：操作系統

總結

以上是生活随笔為你收集整理的路由器DNS 劫持攻击情况的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。