GhostDNS 源代码被泄露 – Avast | 动态

路由器漏洞利用工具套件的兴起

路由器漏洞利用工具套件在网路犯罪分子中变得越来越流行，特别是针对巴西的路由器，因为许多巴西的路由器安全性较差，使用预设和知名的登入凭证。路由器漏洞利用工具套件通常透过恶意广告网站进行分发，这些活动以波浪式进行。

一年前（2019年5月），我们的 Avast 网路防护功能阻挡了一个来自档案分享平台 sendspace.com 的 URL。事后发现，我们的一名
Avast 用户在伺服器上上传了一个含有恶意内容的 RAR 档案，并未关闭 Avast网路防护功能，因为该档案没有设置密码，导致防护功能自动分析，触发了我们对路由器漏洞利用工具套件的检测。我们下载了链接的档案，发现了 GhostDNS漏洞利用工具套件的完整源代码。

我们下载的档案名为 ‘KL DNS.rar’ ，其结构如下显示。档案名表明其目的——它使用 DNS劫持方法将用户重定向到网络钓鱼网站，在那里利用键盘记录器（KL）获取用户的凭证或信用卡资讯。网上有视频解释如何执行此类攻击。

GhostDNS 的源代码可以在黑暗网络上购买。2018年，该源代码的售价约450美元。除了任谁都可以购买并在自己的系统上运行的 GhostDNS源代码外，使用 GhostDNS窃取的信用卡信息也能以约10至25美元的价格购买，具体取决于信用卡信息的数量。根据我们的研究，这些数据截至2020年4月仍可购买。

源代码结构

下载的 KL DNS.rar 档案包含了成功运行 DNS劫持活动所需的一切，以及窃取受害者的信用卡信息、不同网站的凭证或其他用户输入的信息。除了漏洞利用工具套件源代码外，原始档案还包含几个网络钓鱼网站的源代码（稍后将详细说明）。

攻击 SOHO路由器有两种方式。最常见的攻击方式是从内部网络开始，通常是在受害者点击浏览器中的恶意广告链接后启动攻击。另一种感染路由器的方式是透过另一个连接到互联网的设备。在这种情况下，用户不需要点击任何连结，路由器是透过已感染的设备感染的，该设备可以位于世界任何地方。这两种攻击方式都使用
CSRF 请求来改变家用路由器的 DNS 设置。

这两种攻击策略之间的区别显著。当恶意广告活动促进攻击时，攻击者为推动特定数量的人访问其恶意页面付费。一旦点击了恶意链接，攻击即从计算机内部或本地网络内发起。使用该方式成功攻击路由器的机会更高，因为许多路由器仅可从本地网络访问。另一方面，使用像
BRUT 或 masscan等互联网扫描器搜寻易受攻击的路由器，并从外部进行攻击，对攻击者则具有自身的优势。扫描器可免费使用，攻击者无需支付点击费用，并且可以控制哪些 IP地址和端口将被扫描并最终被攻击。

这类活动通常以波浪式出现，并针对全球的路由器。尽管大多数攻击都针对巴西的路由器，因为那里有大量的易受攻击的路由器。此类活动成功的原因在于，大多数路由器由于出厂时使用的弱（通常是预设）凭证而未被加固。根据我们来自所有版本的
Avast Wi-Fi 检查器功能的匿名数据，巴西76%的路由器登入凭证皆为弱密码，使其易受攻击。

BRUT

在这一部分，我们将重点分析一个名为 BRUT 的免费互联网扫描器的源代码。BRUT 寻找并攻击具有公共 IP 地址和对互联网开放的 HTTP 端口的路由器。

版本之间的差异

我们发现本次活动中使用的 GhostDNS源代码有五个实现版本。根据档案元数据，最早的实现版本创建于2017年7月。每个版本的恶意脚本行为非常相似，但在实现细节上有所不同。根据对档案的分析，我们可以将所有实现分为两个组别或版本，每个版本针对不同的目标。

A 版： 此实现的源代码针对较少的设备和可能开放的端口，但使用更长的预设凭证清单来手动暴力破解正确的用户名和密码组合。
B 版： 此实现针对较多的设备和开放端口，但预设凭证的清单较短。

| A 版 | B 版 | |—|—| | IP 地址前缀的数量 | 3,051 | 78,535 | | 目标端口 | 80, 8080, 8181 | 80, 8080, 8081, 8181, 8889, 9001, 9000 | | 2020年5月巴西开放端口的设备数量（shodan.io） | ~ 1.6 M | ~ 1.8 M | | 2020年5月全球开放端口的设备数量（shodan.io） | ~ 88.5 M | ~ 96.5 M | | 暴力破解攻击中使用的凭证数量 | 84 | 22 | | 目标路由器型号数量 | 31 | 37 |

除了不同的目标外，这两个版本的文件夹结构也略有不同。下图显示了 A 版的源代码在左侧，B 版的源代码在右侧。在 B 版的源代码中，所有漏洞利用工具套件均在
Router.py 档案中实现。为了更好地了解它们之间的差异，B 版所针对的路由器型号列在下方框内。

在每个包含 B 版源代码的文件夹中，我们发现一个名为 READM.MD 的 markdown文件。这个源代码的作者在命名文件时犯了一个拼写错误，原本应该命名为 README.MD 。在这个文件中，我们只找到 Shodan 搜索引擎的 URL地址。A 版的源代码则不包含任何 README.MD 文件。

在我们下载的 RAR 压缩档中，我们发现了两个实现的算法，其中一个实现扩展了另一个版本。A版的源代码似乎是较旧的版本，攻击者更专注于正确设计攻击。这可以通过针对的 IP地址和端口数量的显著降低以及较少的路由器型号目标来得出结论。在这个版本成功后，攻击者创建了新的源代码版本，针对的 IP地址和端口数量显著增加，以及更多的路由器型号。凭证组合数量较少，可能是因为大多数用户从未更改其 SOHO路由器的预设凭证，因此使用较少的凭证进行攻击足够有效。

安装

恶意源代码是通过一个简单的 shell 脚本进行分发的，名为 ‘install.sh’
，该脚本在两个版本的源代码中均可找到。在执行此脚本后，它会下载运行感染所需的所有依赖项。感染的源代码从两个不同的地方下载，具体取决于源代码的版本——要么从源代码中硬编码的
IP 地址的伺服器上下载，要么从 Dropbox 上下载。使用 Dropbox 共享恶意脚本仅在代码的后期版本中开始。下载的源代码以 ZIP档案的形式存储在主机设备的 ‘/scan’ 文件夹中。

互联网扫描器

为了找到新的攻击路由器，GhostDNS 套件扫描互联网连接的其他设备。在源代码中，我们发现了一个待扫描的 IP地址前缀清单。每个前缀指定了一个子网，网络掩码为 16，因此对于每个前缀，会扫描所有 65,536 个 IP 地址。随机从预定义清单中选择扫描的子网前缀。

所选的前缀随后被记录到控制台，如下图所示。每当脚本找到一个新的开放 HTTP 端口的设备时，它会将 IP 地址、端口和凭证记录到命令行和日志档案中。

A 版的两个实现会打印出一个横幅，通知攻击者恶意 CSRF 请求已被执行。在创建此横幅时，攻击者犯了一个拼写错误，原本应显示正确的名称 ‘GHOSTDNS’ ，但脚本显示为 ‘GOST DNS’ 。其余打印到控制台的信息是葡萄牙语。

BRUT 扫描器专注于源代码中硬编码的预定 HTTP 端口。对于每个前缀，扫描器尝试按顺序连接给定范围内的所有 65,536 个 IP 地址。对于每个 IP地址，该扫描器会尝试连接一组预定的端口。

我们分析了给定 IP 地址前缀的列表，以确定哪些国家受到了扫描。在这两个列表中，共有69个目标国家，且两个版本针对的国家设置完全相同。

两个版本之间的差异在于每个国家中不同 IP 地址的分布以及每个版本中的总 IP 地址数量。下图显示了前 10 个目标国家的 IP地址分布，这些国家分别是巴西、美国、墨西哥、哥伦比亚、阿根廷、智利、加拿大、委内瑞拉、澳大利亚、哥斯达黎加、德国。

尽管两个列表中大多数 IP 地址前缀在巴西注册，但算法仍然检查每个扫描到的 IP 地址的地理位置。攻击仅继续针对位于巴西的 IP 地址。

除了针对连接到互联网的设备外，GhostDNS 还针对连接到同一私有网络的设备。在 IP 地址前缀列表中包含了一个私有网络
192.168.0.0/16，该网络是大多数路由器的内部网络的预设设置。大多数与互联网连接的设备在内部网络的一个路由器背后隐藏。因此，扫描内部网络使攻击者有机会感染更多潜在设备。

在 B 版源代码中，有指定的子网 IP 地址应被忽略，该子网是 143.106.0.0/16，属于巴西坎皮纳斯公立大学（UniversidadeEstadual de Campinas），该大学是的成员，专注于分析针对互联网设备的威胁。该大学与巴西
共同负责维护
。为了尽可能避免被察觉，扫描器会跳过此已知的
IP 地址范围。

获取访问权限

在先前的一篇中，我们分析了在野外的 GhostDNS 活动。如同我们提到的，routerEK 使用 CSRF 请求来改变路由器的 DNS设置。在我们现在描述的实现中，GhostDNS 脚本使用硬编码的凭证列表，向以下目标发送 HTTP 请求：

http[:]//ip:port
http[:]//user@ip:port

为了获取对设备的访问权限，脚本进行 CSRF暴力破解攻击，使用一组预设或容易猜测的凭证。我们在源代码中发现了两个凭证列表。其中一个包含22个凭证，适用于较大规模的 IP地址前缀，而另一个则包含84个凭证，适用于较小规模的前缀。

在所有凭证组合中，只有九个能在两个凭证列表中找到。在这些共同凭证中，我们发现了 Cisco 设备的预设用户名和密码（ cisco:cisco
）、Ubiquiti 设备（ ubnt:ubnt ），以及变体的 ‘admin’ 作为用户名或密码。两个列表还包含了
‘deadcorp2017’ 作为受感染路由器的新密码。换句话说，每次运行 GhostDNS漏洞利用工具套件都能获得在之前活动中已被感染路由器的访问权限。

除了共同凭证，B 版源代码中还包括了更多容易猜测的凭证，例如何 admin:123456 。源码的作者也添加了一些更复杂的密码，例如
‘krug3rpicao’ 或 ‘s1m23 l’_。这些密码为何会被添加至列表尚不清楚。

另一方面，A 版源代码中还包含了巴西 ISP 的一些著名预设凭证，如 TIM 巴西的 (T1m4dm:T1m4dm) 或 VIVO 的
(admin:gvt12345)。某种路由器的预设凭证也可以在下方图片中的列表中找到，例如 ZyXel (admin:zyxel)。某些 Linux发行版的预设凭证 (root:toor) 也可以在列表中找到。最后但同样重要的是，过去类似攻击中使用的凭证也出现在列表中，例如
admin:dn5ch4ng3 。完整的凭证列表可以在 IoC 部分找到。

此外，当发送 HTTP 请求时，B 版的源代码会从十个预定用户代理中随机选择。此功能未包含在 A版源代码中，因此可能是源代码的一个改进，旨在长时间保持隐蔽。

当将正确的信息组合发送至目标设备时，设备会以 HTTP 200 发送响应，并带有设备的相关信息横幅。根据目标设备的名称，GhostDNS算法使用非常简单的指纹识别技术来选择将在 DNS 劫持攻击中使用的正确 routerEK 版本。

以下图片显示了一个针对 FiberHome Modem Router HG-110 的 HTTP 指纹识别示例。
自2013年以来便存在，旨在改变 DNS设置然后在没有任何身份验证的情况下重启目标设备。

并非所有响应 HTTP 200 的设备都是路由器。有些设备被故意忽略，例如 IP 摄像头、数字视频录影机、伺服器等，因为它们不具备 DNS 伺服器功能。

对于成功的登入，受感染路由器的信息会存储在硬碟上的日志文件中，而在某版源代码中，登入信息还会通过域名 ‘ deadfilmes.org’
分享至外部伺服器。该域名在2017年活动期间短暂有效，现已不再运行。

攻击链接续进行，CSRF 劫持每个目标路由器的 DNS 设置。DNS 设置被配置为使用预定义的恶意 DNS 伺服器，将用户重定向至钓鱼网页。在我们下载的
GhostDNS 源代码中，发现了三种不同的恶意 DNS 设置。IP 地址的配置完全取决于攻击者。由于此次活动的源代码在2017年创建，这些恶意 DNS伺服器在2020年不再有效也就不足为奇。

DNS 设置

DNS_1 = 162.254.204[.]26
DNS_2 = 162.254.204[.]30
DNS_1 = 198.55.124[.]146
DNS_1 = 185.70.186[.]4
DNS_2 = 185.70.186[.]7

为了创建恶意 DNS 伺服器，此压缩档中包含了 SimpleDNS Plus 应用程序的安装文件，并附带破解工具，这是一个功能强大的 Windows操作系统的 DNS 伺服器。压缩档中包含的版本 5.2 的 SimpleDNS Plus，由于是2009年发布的首个与 Windows 7 兼容的版本。

该压缩档还包含可导入的 DNS 设置至 DNS 工具中。我们总共找到了65个不同的 DNS 设置，所有域名解析到同一个 IP 地址
167.114.19[.]55。我们安装了 SimpleDNS Plus 工具并将所有 DNS 设置导入其中。以下图片显示了三个不同的 DNS 记录。

接下来，GhostDNS 将用户的路由器凭证更改为预设的凭证。在两个版本的源代码中，仅将密码更改为 ‘deadcorp2017’
。在两个案例中，攻击者将用户名和密码均更改为 ‘deadcorp2017’ 。在另一个案例中，用户名和密码均更改为 ‘Snowden’ 。

/ deadcorp2017
deadcorp2017 / deadcorp2017
Snowden / Snowden

从此以后，每当用户连接到目标域名，恶意 DNS将其重定向到一个钓鱼伺服器，在此伺服器上存放著请求的网页的恶意副本。这些网页通常与真实服务的网页相似，但这些钓鱼网页的目的在于获取用户的资料。在此案例中，目标服务为银行机构及
Netflix。关于 DNS 劫持的更多信息以及攻击者如何通过安装恶意 DNS 伺服器来盈利的情况，我们的
中均有详述。

RouterEK

另一种攻击路由器的方式是通过木马广告重定向从本地网络进行攻击。当用户点击恶意链接时，便无意中从内部网络攻击路由器。

扫描的 IP 地址数量远低于我们在上述 BRUT 文件夹中发现的列表。该扫描器针对五个内部 IP 地址、两个注册于巴西互联网服务提供商的公共 IP地址以及用户查看恶意广告网页的 IP 地址。此脚本仅针对两个 HTTP 端口：80 和 8080。

然后，该脚本寻找 IP 地址和端口的组合，并显示活跃设备。所有扫描的 IP 地址和端口的组合都在简单的网页在一个列表中显示，并显示每个组合的反应。

对于作出回应的每个设备，该脚本产生一个用 BASE64 编码的 iframe。这些 iframe 代表简单的网页，具有将 HTTP 请求更改为
WebSocket 请求的功能。这些请求用于将路由器的 DNS 设置更改为预定的 IP地址。有59个不同的请求，所有请求都硬编码在源代码中，每个用户名和密码组合都包含在内。创建的 iframe 然后附加到网页主体的末尾。

在请求中使用的凭证数量只有八个用户名和密码对，明显低于我们在 BRUT 文件夹中发现的凭证数量，但仍包含巴西最常用的预设路由器登入凭证。

admin:admin
admin:
admin:12345
admin:123456
admin:gvt12345
root:root
admin:vivo12345
Admin:Admin

当受害者被重定向至包含漏洞利用工具的登陆页面时，该脚本根据 PHP $_SERVER 变数确定伺服器的 IP 地址和客户端所点击的
URL。所有这些信息，包括当前的日期和时间，然后被记录到以客户端IP地址命名的日志文件中。我们在源代码中找到的这种日志文件的例子如下所示。

当攻击从网络浏览器发起时，如本例所示，攻击者会重点关注攻击的时间复杂度，以便不被用户注意。因此，该攻击的目标 IP 地址和端口数量较少，凭证列表较短。

在过去两年中，我们见过多个针对巴西的 GhostDNS 活动，几个示例可参见以下图片。

早期版本经常通过遭到破坏的网站透过恶意广告分发。2019年，几个团体转向使用
平台、AWS 或其他易于部署的托管服务。获得的源代码在主文件夹中包含了野外见到的首个版本，根据
，它被描述为版本 1，并以
api.ipaddress.php 作为登陆脚本。

钓鱼伺服器与网页

在下载的 ‘KL DNS’ 文件夹中，除了 GhostDNS源代码外，还有钓鱼网页的源代码。在我们下载的文件中发现了几个钓鱼网站。攻击者主要针对巴西最大的银行和 Netflix：

Banco Bradesco
Itau
Caixa
Santander
MercadoPago
CrediCard
Netflix

在分析源代码时，我们注意到一些其他域名也已做好准备，但钓鱼页面尚未（或尚未）实现。这一组网页包括更多巴西的大型银行、托管域名、新闻网站和旅行公司：

Flytour Viagens
Banco do Brasil
Cartao UNI
Sicoob
Banco Original
CitiBank
Locaweb
MisterMoneyBrasil
UOL
PayPal
LATAM Pass
Serasa Experian
Sicredi
SwitchFly
Umbler

这些钓鱼网页的目的是收集用户数据，主要是在线银行网站的登入凭证和信用卡号码。当钓鱼伺服器窃取用户信息时，会通过电子邮件将其发送给攻击者。我们发现了两种不同的电子邮件地址配置用来向攻击者发送电子邮件，但内容保持不变——用户数据。列表中提到的第一个配置用于发送从
Santander 银行钓鱼网站窃取的数据，第二个配置则用于共享从所有其他钓鱼网页收集的数据。

发件人邮箱: autenticadead[at]gmail.com，收件人邮箱: jokersdead69[at]gmail.com
发件人邮箱: dnsautenticador[at]gmail.com，收件人邮箱: caixadeinfor2018[at]gmail.com

源代码的作者使用了带有 SMTP 身份验证的 PHPMailer 库来发送电子邮件，因此发件人的邮件密码也包含在源代码中。

额外信息：Project RouterScan

在我们的研究中，我们发现了一个可能是 BRUT 扫描器的继任者，即由创建的
RouterScan。这个自动化的网络扫描器可以直接从开发者那里下载，已经可以下载到版本 2.60 Beta。一个修改过的 RouterScan v2.53可以在 torrent 网络或文件分享平台如 4shared.com 中找到。此版本还包含了针对最常见路由器的几个漏洞利用。

RouterScan v2.53

RouterScan 工具包含了一个预设或易于猜测的凭证列表。在版本 2.53中，对于基本身份验证有125种不同的凭证，对于摘要身份验证有113种凭证。在我们从 torrent 下载的源文件中，我们还发现了31个 Pascal档案，包含针对超过100种不同路由器的漏洞利用。例如，以下显示的是利用 ROM-0 备份泄漏漏洞的函数
()：

以下显示了 RouterScan 的一个设置示例。攻击者可以输入任何范围的 IP 地址和要扫描的端口。可选择六个扫描模组，针对各种服务，如 SQLiteManager、phpMyAdmin 等。

受影响的路由器列表：

RouterScan v2.60 Beta

RouterScan 的新版本 (v2.60 Beta)
工具包含了一个更新的凭证列表。对于基本身份验证，有201种凭证，对于摘要身份验证，有191种。除了这些列表之外，我们发现了一个184个形式验证的凭证列表和90个
WLAN 密码的列表。

直接从开发者下载的 RouterScan 不包含任何下载自 torrent 网络的版本 2.53 中的漏洞利用。

结论

利用 CSRF 攻击是一种常见的劫持 DNS设置并将用户重定向至钓鱼网站的方式。这类攻击在巴西非常流行，那里的攻击者利用此攻击向用户获取敏感信息，如巴西一些大型银行的用户登入凭证及信用卡号码。

Avast 的网络防护功能有助于保护用户及其路由器不被感染。如果在用户尝试访问的网站中发现任何恶意脚本，网络防护功能将阻挡该 URL并通知用户。除了保护无辜的用户不被感染外，Avast 的网络防护功能还可以显示恶意活动，如这一案例，黑客忘记关闭网络防护而访问包含 GhostDNS源代码的文件。正是由于这次疏忽，我们得以检测、下载和分析其内容。借由我们下载的源代码，我们能够全面了解 GhostDNS 的运作方式，从而改进 Avast防病毒产品的检测功能，以保护用户。

如果您想要获得有关我们分析的更多信息，或只是想与我们讨论我们的发现，请随时在 Twitter 上联系我们
。

附录：密码列表

:
:admin
:root
ACESSO:@@ACESSO##POINT#@
admin2:admin2
admin:
Admin:
admin:1
admin:123
admin:1234
admin:123456
admin:1234567890
admin:@!JHGFJH15
admin:admin
Admin:admin
Admin:Admin
admin:adsl
admin:bigb0ss
admin:buildc0de
admin:bulld0gg
admin:bullyd0gg
admin:deadcorp2017
admin:deadcp2017
admin:deus1010
admin:dn5ch4ng3
admin:dnschange
admin:Gidlinux2019
admin:gpnet321
admin:gvt12345
admin:internet
admin:K3LLY2016
admin:krug3rpicao
admin:m3g4m4ln
admin:m3g4m4n
admin:megaman
admin:megaman2
admin:mundo
admin:p4dr40
admin:passthehash
admin:password
admin:publ1c0
admin:roteador
admin:s1m23l
admin:saho4001
admin:theb0ss
admin:thed0gg
admin:uhuwCorp
admin:Voltage2016
admin:zyxel
cisco:cisco
deadcorp2017:deadcorp2017
jordam:jdmadmin
megaman:megaman
megaman:megaman2
provedor:MACAXEIRA
provedor:SIERRABRAVO
root:
root:123
root:44acesso22point2014
root:admin
root:bigb0ss
root:buildc0de
root:bulld0gg
root:bullyd0gg
root:deus1010
root:Gidlinux2019
root:K3LLY2016
root:m3g4m4ln
root:m3g4m4n
root:root
root:theb0ss
root:thed0gg
root:toor
root:Voltage2016
super:megaman
super:super
support:bigb0ss
support:buildc0de
support:bulld0gg
support:bullyd0gg
support:deus1010
support:Gidlinux2019
support:K3LLY2016
support:m3g4m4ln
support:m3g4m4n
support:theb0ss
support:thed0gg
support:Voltage2016
T1m4dm:
T1m4dm:@T1m@dml1v@
T1m4dm:T1m4dm
T1m4dm:T1m@dml1v
ubnt:ubnt
user:
user:megaman
user:user

标记为、、、、、

GhostDNS 源代码被泄露 – Avast