路由器漏洞工具包在巴西非常流行,在11月底时,我们注意到Avast的WebShield封锁的网址数量急剧增加。进一步调查后,我们发现了两个针对巴西人的登陆页面,它们承载了GhostDNS路由器漏洞工具包,用于进行跨站请求伪造(CSRF)攻击。
正如我们在中描述的那样,RouterCSRF攻击通常通过恶意广告活动进行分发,并呈现潮起潮落的模式。
当受害者造访一个被攻击的网站时,他们在不知情的情况下会被重定向到一个路由器漏洞工具包的登陆页面,通常会在新窗口或标签中打开,自动启动对路由器的攻击,而无需用户交互。该漏洞工具包会试图在网络上找到路由器的IP地址,并通过暴力破解方式进入路由器。
一旦骇客成功登录到路由器,漏洞工具包会试图使用各种CSRF请求来修改路由器的DNS设置,将受害者引导至设计成与其想访问的真实网站相似的钓鱼页面。在这种情况下,受害者所针对的巴西银行和新闻网站,以及Netflix,包含以下几个:
- bradesco.com.br
- santandernetibe.com.br
- pagseguro.com.br
- terra.com.br
- uol.com.br
- netflix.com
在线银行网站和像Netflix这样的网站经常成为网络罪犯DNS劫持攻击的目标,因为这样可以轻松窃取宝贵的登录凭证。
巴西封锁网址的高数量
在2019年11月25日,Avast的WebShield封锁了大量网址。当天封锁的网址数量近达5,500,随后在第二天又有超过1,000个网址被封锁。正如下面的图表所示,该活动最早于2019年11月19日开始当天封锁的网址数量超过1,000。总的来说,AvastWeb Shield封锁了这两个恶意网址共计7,500次。
我们发现了两个承载GhostDNS路由器漏洞工具包的登陆页面:
- hxxp[:]//novonovonovo.users.scale.virtualcloud.com[.]br
- hxxp[:]//avast.users.scale.virtualcloud.com[.]br
每个GhostDNS登陆页面中都有相同的bit.ly链接,这让我们得以洞察每个活动的总点击数。当您在bit.ly链接结尾添加(+)时,可以查看网站的点击统计信息。这两个网站的总点击数接近223,000次。
我们不确定为何网络罪犯在第二个网址中使用了“avast”,但我们怀疑这可能是因为我们已经封锁了第一个登陆页面。
重定向
所有这些页面均由一个巴西域名分发:http[:]//cvtonelli.com[.]br,这是这次活动的主要重定向节点。在2019年11月25日,该域名解析至134[.]209.183[.]28,并持续活动到11月29日星期五。
以下是捕获整个攻击的详细说明:
根据登陆页面的网站指纹,该漏洞工具包为GhostDNS变体, Novidade
,即葡萄牙语的“新消息”。该活动专注于利用以下两个服务器劫持DNS请求(两个服务器均承载在ColoCrossing的伺服器上):
- 198[.]46.234[.]210
- 192[.]3.207[.]10
当用户访问http[:]//cvtonelli.com[.]br域名时,他们会自动重定向到一个路由器漏洞工具包的登陆页面。GhostDNS漏洞工具包会自动寻找路由器的IP,然后通过PHP脚本执行一个包括路由器IP的攻击参数(例如
“ /inc.php?d=192.168.1.1 ”),最终在用户的路由器上执行CSRF攻击。下面的图示描述了攻击向量:
DNS劫持
与过去一样,受到DNS劫持影响的域名主要是巴西的银行,以及电子商务网站PagSeguro、国家新闻网站Terra和UOL、以及知名串流网站Netflix:
- bradesco.com.br
- santandernetibe.com.br
- pagseguro.com.br
- terra.com.br
- uol.com.br
- netflix.com
所有受影响的域名都解析至138[.]197.149[.]162,此域名由DigitalOcean,
LLC托管。到2019年12月3日,当使用恶意DNS伺服器时,所有域名依然解析至该IP地址。
我们访问了BancoBradesco网站的钓鱼版本,即当用户试图访问该银行的网站时被重定向至该页面。如果仔细查看地址栏,会发现该网站显示为不安全,这并非所有用户都能够认识。网站上的大多数链接都无法正常工作,仅仅将用户重定向至不存在的网页。当然,登录页面仍然正常运作,因为受害者可以在页面的顶部填写其凭证以登录其账户。
该钓鱼网站不会验证登录凭证,因为没有方法进行验证,因此它会自动假装用户已登录到其账户,然后显示一个弹出消息,通知用户系统暂时不可用,请稍后再试。
如果用户从钓鱼版本的银行网站登出,则会显示真实的网页。用户可以在该页面上登录他们的实际在线银行账户。
建议与应对
这次活动目前已不再活跃,但为了防止DNS劫持攻击,或如果您已经受到感染,建议采取以下措施:
- 将您的路由器固件更新至最新版本。
- 更改您的登录凭证,特别是在线银行服务和路由器,使用强密码!
- 确保检查您的银行网站是否有有效的证书,通过查看浏览器URL地址栏中的锁定图标。
Avast Web Shield功能在Avast的免费版和高级版中均包含,能主动保护用户免受路由器CSRF攻击:
Avast Wi-Fi受检查工具还可以检测网络中的DNS劫持问题,并显示被劫持域名的列表:
IoC
域名 | ISP | 备注
—|—|—
cvtonelli.com[.]br| DigitalOcean, LLC| 重定向至GhostDNS漏洞工具包
novonovonovo.users.scale.virtualcloud.com[.]br| Durand do Brasil Ltda|
GhostDNS漏洞工具包登陆页面
avast.users.scale.virtualcloud.com[.]br| Durand do Brasil Ltda|
GhostDNS漏洞工具包登陆页面
bitly[.]com/2Kta6aU| Google, LLC| Bitly – 活动追踪器
google[.]pl/2018/WWWpromo/infsddddf-inf.asp| Google, LLC| Bitly – 掉用重定向
198.46.234[.]210| ColoCrossing| 骗子DNS伺服器
192.3.207[.]10| ColoCrossing| 骗子DNS伺服器
138.197.149[.]162| DigitalOcean, LLC| 钓鱼伺服器
标签:,,,,,,
分享:XFacebook
