设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 网络安全 > 系统和服务器安全 > 正文

Switcher木马劫持Wi-Fi路由器来切换DNS

时间:2017-01-11 14:41 来源:blog.kaspersky.com.cn 作者:SecYe安全 阅读:

  一个比较重要的网络安全建议是,如果你认为页面URL看起来很怪异,那么就不应该输入登录名、密码、信用卡信息等内容。怪异的链接有时候就意味着危险。比如说,如果看到fasebook.com而不是facebook.com,那么这个链接就属于怪异链接。

  但是,如果伪造网页在合法页面上托管该怎么办呢?事实证明,这种情况真实发生过 – 犯罪分子甚至无需入侵托管目标页面的服务器就能达到目的。下面让我们来看看具体是怎样实现的。

  劫持后切换DNS请求

  这里的窍门在于我们正常的网页地址是一个附加项,对应于互联网使用的真正IP地址。这个附加项被称为DNS,即域名系统。每次在浏览器地址栏中输入网站地址时,计算机都会向指定的DNS服务器发送请求,再由该DNS服务器返回您所需域的地址。

  例如,输入google.com时,相应的DNS服务器会返回IP地址87.245.200.153,这就是将您有效定向到的位置。下图简要说明了它的工作方式:

  问题是,犯罪分子可以创建自己的DNS服务器,通过返回其他IP地址(例如,6.6.6.6)来响应您的”google.com”请求,而该地址可能托管的是一个恶意网站。这种方法被称为”DNS劫持”。

  现在,犯罪分子能否成功取决于是否有办法使受害者使用恶意DNS服务器,也就是将受害者定向到伪造网站,而不是合法网站。下面说明了Switcher木马病毒的作者是如何解决这个问题的。

  Switcher木马入侵方式

  Switcher开发人员创建了若干个Android应用程序,其中一个模仿百度,另一个伪装成公共Wi-Fi密码搜索应用程序,帮助用户将密码共享到公共热点;这种类型的服务在中国也相当受欢迎。

  一旦恶意应用程序潜入连接到Wi-Fi网络的目标智能手机,就会与指挥控制(C&C)服务器进行通信,并报告该木马已在特定网络中激活。此外,它还提供了一个网络ID。

  随后,Switcher开始劫持Wi-Fi路由器。它会测试用于登录到设置界面的各种管理凭证。根据这部分木马的工作方式,目前只要使用TP-Link路由器,这种方法就能起作用。

  如果木马设法识别到正确的凭证,就能进入路由器的设置页面,将合法的默认DNS服务器地址更改为恶意DNS服务器。恶意软件还会将IP地址为8.8.8.8的合法Google DNS服务器设置为辅助DNS,这样一来,只要恶意DNS服务器关闭,受害者就不会注意到任何内容。

 

  在大多数无线网络中,设备从路由器获取其网络设置(包括DNS服务器的地址),因此默认情况下,所有连接到被劫持网络的用户都会使用恶意DNS服务器。

  木马会将成功劫持的地址报告给指挥控制服务器。我们公司发现这种木马的专家们运气很好,他们发现了不小心留在网站公共部分中的成功攻击统计数。

 

  如果Switcher的数据准确,那说明在不到四个月的时间里,这款恶意软件已经成功感染了1280个无线网络,所有来自这些热点的用户流量均操控在罪魁祸首手中。

  如何防范这类攻击

  1.对路由器应用正确的设置。首先,将默认密码更改为更复杂的密码。

  2.不要在Android智能手机上安装可疑的应用。始终前往官方应用商店下载应用 – 遗憾的是,有时候木马病毒也会入侵官方应用商店,但不管怎样,官方应用商店仍然要比非官方商店可靠得多。

  3.在所有设备上安装可靠的防病毒软件,以获得最佳防护。

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%