根據(jù)Avast的說(shuō)法,DNS劫持是一個(gè)全球性的問(wèn)題。今年早些時(shí)候,澳大利亞聯(lián)邦政府機(jī)構(gòu)網(wǎng)絡(luò)安全中心(ACSC)宣布,它已經(jīng)了解全球域名系統(tǒng)(DNS)基礎(chǔ)設(shè)施劫持活動(dòng),并發(fā)布了一份聲明,概述了組織如何保護(hù)其系統(tǒng)的最佳實(shí)踐。
網(wǎng)絡(luò)罪犯分子利用跨站點(diǎn)請(qǐng)求偽造攻擊(CSRF)來(lái)執(zhí)行用戶不知情的命令,在這種情況下,修改用戶的DNS設(shè)置以執(zhí)行網(wǎng)絡(luò)釣魚和加密挖掘攻擊,或通過(guò)惡意廣告進(jìn)行攻擊。用于攻擊路由器的已知路由器漏洞利用工具包包括GhostDNS,Novidade。
截至目前為止,在2019年Avast已阻止了超過(guò)70,000次GhostDNS攻擊。GhostDNS漏洞利用工具包在全球地下黑客攻擊場(chǎng)所的許多地方非常流行,其中一些變種屬于2019年針對(duì)路由器的最活躍的漏洞利用工具包。僅在2月份,GhostDNS變種Novidade就試圖感染Avast用戶路由器超過(guò)260萬(wàn)次,并通過(guò)三個(gè)活動(dòng)傳播。根據(jù)Netlab360,GhostDNS 由一個(gè)復(fù)雜的系統(tǒng)組成,該系統(tǒng)包含網(wǎng)絡(luò)釣魚 Web 系統(tǒng)、Web 管理系統(tǒng)和惡意 DNS 系統(tǒng)。
DNS劫持導(dǎo)致網(wǎng)絡(luò)釣魚攻擊
路由器CSRF攻擊通常在用戶使用惡意廣告訪問(wèn)受感染網(wǎng)站時(shí)啟動(dòng),該惡意廣告通過(guò)第三方廣告網(wǎng)絡(luò)提供給網(wǎng)站。Avast 經(jīng)常在本地網(wǎng)站上發(fā)現(xiàn)不良感染,這些網(wǎng)站包含成人內(nèi)容、非法電影和體育。只需訪問(wèn)一個(gè)受到感染的站點(diǎn),受害者就會(huì)被重定向到惡意網(wǎng)頁(yè),利用工具包登陸頁(yè)面,在無(wú)需用戶交互的情況下,后臺(tái)會(huì)自動(dòng)啟動(dòng)對(duì)路由器的攻擊。
在許多情況下,由于密碼較弱,漏洞利用工具包可以成功攻擊路由器。它首先嘗試在網(wǎng)絡(luò)上找到路由器IP,然后嘗試使用各種登錄憑據(jù)猜測(cè)密碼。
在某些情況下,路由器被重新配置為使用流氓DNS服務(wù)器,將受害者重定向到看起來(lái)像真正在線銀行網(wǎng)站的網(wǎng)絡(luò)釣魚頁(yè)面。最近,Netflix成為DNS劫持者的熱門域名。
Avast數(shù)據(jù)顯示,以下在巴西活躍的組織的網(wǎng)站最常遭到劫持:
- santander(24%)
- Bradesco(19%)
- Banco do Brasil(13%)
- Itau BBA(13%)
- Netflix(11%)
- Caixa(10%)
- Serasa Experian(10%)
“受影響的機(jī)構(gòu)通常因其受歡迎程度而成為攻擊目標(biāo),問(wèn)題在于除了提醒客戶之外,他們幾乎無(wú)法避免其成為受害者,因?yàn)榫W(wǎng)絡(luò)釣魚網(wǎng)站不屬于他們的域名。” Avast的威脅情報(bào)分析師David Jursa。
惡意廣告和加密攻擊
除了網(wǎng)絡(luò)釣魚之外,網(wǎng)絡(luò)犯罪分子還使用DNS劫持將惡意廣告替換為合法廣告。例如,網(wǎng)絡(luò)犯罪分子可以劫持廣告平臺(tái),如Outbrain,它可以集成到網(wǎng)站中,為網(wǎng)站訪問(wèn)者提供廣告。如果廣告平臺(tái)的服務(wù)器地址在用戶的路由器上被劫持,則用戶將看到惡意廣告。例如,這些可能會(huì)誘使用戶下載更多惡意軟件,或者將他們引導(dǎo)到帶有陰影或非法內(nèi)容的未經(jīng)請(qǐng)求的網(wǎng)站。
此外,Avast威脅研究人員還看到網(wǎng)絡(luò)犯罪分子使用DNS劫持將惡意加密腳本推送到用戶的瀏覽器,因此用戶的機(jī)器被濫用以挖掘加密硬幣。這會(huì)導(dǎo)致高額能源費(fèi)用,并縮短受影響設(shè)備的生命周期。
網(wǎng)站和用戶都應(yīng)采取措施
David Jursa敦促消費(fèi)者仔細(xì)檢查網(wǎng)頁(yè)并保護(hù)他們的家庭網(wǎng)絡(luò)。“用戶在訪問(wèn)銀行等網(wǎng)站時(shí)應(yīng)該小心,并確保該頁(yè)面具有有效的證書。他們可以通過(guò)檢查瀏覽器URL欄中的掛鎖來(lái)完成此操作。用戶還應(yīng)經(jīng)常將路由器的固件更新到最新版本,并使用強(qiáng)密碼設(shè)置路由器的登錄憑據(jù)。“
此外,各大網(wǎng)站也可以通過(guò)使用SSL證書對(duì)網(wǎng)站域名進(jìn)行HTTPS加密(為網(wǎng)站瀏覽器加一把綠色的掛鎖),從而確保網(wǎng)站數(shù)據(jù)不被篡改和竊取,防止DNS劫持、網(wǎng)頁(yè)植入廣告等現(xiàn)象,提升網(wǎng)站的安全性。
