Noll
Över 100 000 routrar har fått sina DNS-inställningar ändras för att omdirigera användare till en phishing-sidor. Den omdirigering sker endast när användare försöker få åtkomst till e-bank sidor för Brasilianska banker.
Omkring 88% av dessa routrar finns i Brasilien, och kampanjen har pågått sedan åtminstone mitten av augusti när bevakningsföretag Radware först såg något konstigt.
Men enligt en ny rapport som publicerades förra veckan av Kinesiska it-säkerhetsföretaget Qihoo 360, gruppen bakom dessa attacker har ökat sina spel.
Genom att analysera stora mängder data samlas in, Qihoo 360 Netlab division fick en djup titt in i gruppen modus operandi.
CNET: Vi kan inte sluta botnet-attacker ensam, säger AMERIKANSKA regeringen
Enligt Netlab experter, hackare är scanning den Brasilianska IP utrymme för routrar som använder svagt eller inget lösenord, tillgång till routrar’ inställningar och byta legitima DNS-inställningar med ip-adresser för DNS-servrar som står under deras kontroll.
Denna förändring omdirigeringar alla DNS-förfrågningar som passerar genom äventyras routrar för att den skadliga DNS-servrar som svarar med felaktig info för en lista med 52 platser.
De flesta av dessa platser är Brasilianska banker och web hosting-tjänster, och omdirigering leder tillbaka till en phishing-sida som stjäl offrens autentiseringsuppgifter för dessa webbplatser.
Se även: IoT hacker bygger Huawei-baserade botnet, förslavar 18,000 enheter i en dag
Angriparna göra allt detta med hjälp av tre moduler, som Netlab har dubbade Skal DNSChanger, Js DNSChanger, och PyPhp DNSChanger, alla baserade på programmeringsspråk där de har kodats.
Den första modulen, Skal DNSChanger, är skriven i Skal och är en kombination av 25 Shell-skript som kan brute-force-lösenord 21 routrar eller paket för inbäddad mjukvara.
“Detta sub-modul är endast används lätt, med en begränsad utbyggnad av angriparen,” Netlab forskare sade under helgen.
Den andra modulen, Js DNSChanger, är skriven i JavaScript, och är en samling av endast 10 JS skript som kan brute-force lösenord för sex routrar eller paket för inbäddad mjukvara.
Detta är bara sättas på redan nedsatt routrar för att skanna och brute-force andra routrar och enheter på interna nätverk.
Den tredje modulen, PyPhp DNSChanger, är skriven i en kombination av Python och PHP, och är den mest potenta av alla tre. Netlab säger denna modul har satts in på över 100 Google Cloud-servrar, där angriparna är ständigt skannar Internet för att identifiera sårbara routrar.
Denna modul använder 69 attack skript som kan brute-force-lösenord 47 olika routrar och paket för inbäddad mjukvara.
TechRepublic: 6 anledningar varför vi har misslyckats med att stoppa botnät
Dessutom, denna modul använder också ett säkerhetshål som kan kringgå de förfaranden för autentisering för vissa routrar och ändra DNS-inställningar. Denna bedrift (känd som dnscfg.cgi sårbarhet) har setts som utnyttjas i Brasilien i ett liknande sätt i februari 2015, som också används för att ändra DNS-inställningar och omdirigera Brasiliansk bank användare till webbplatser för nätfiske.
Netlab forskare säger att de har lyckats att få tillgång till denna tredje modulen admin område, där de upptäckte att PyPhp DNSChanger ensam hade smittats under 62,000 routrar bara av sig själv.
Bild: Qihoo 360
Dessutom, denna tredje modulen verkar också för att använda vad som verkar vara stulna Shodan API-nyckel för att identifiera sårbara routrar kan utnyttja med Shodan sakernas internet sökmotor.
I samtliga operatörer av detta botnet, som Netlab har smeknamnet GhostDNS, kan målet över 70 olika typer av routrar, har redan smittade över 100 000 routrar, och är för närvarande värd för phishing-sidor för över 70 olika tjänster (52 Url-adresser finns med Netlab forskare, plus ytterligare 19 phishing-webbplatser som finns på samma phishing-servrar, men som GhostDNS hade inte omdirigeras trafiken till ännu).
Netlab säger att det meddelas berörda enheter såsom Brasiliansk Internetleverantörer om den pågående kampanjen. En lista över Webbadresser som GhostDNS är att omdirigera trafik till phishing-sidor, tillsammans med en lista över routrar GhostDNS är känd för att kunna infektera, finns i Netlab s rapport här.
Relaterade täckning:
Träffa Torii, en ny sakernas internet botnet långt mer sofistikerade än Mirai varianterNy Hakai IoT botnet tar fasta på D-Link, Huawei, och Realtek routrarMirai botnet författare undvika fängelse efter “omfattande stöd” till FBINya Virobot malware fungerar som en ransomware, keylogger, och botnätNya XBash malware kombinerar ransomware, coinminer, botnät, och mask funktioner i en dödlig combo
Relaterade Ämnen:
Sakernas Internet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0