Nul
Over 100.000 routere har haft deres DNS-indstillinger ændres til at omdirigere brugere til phishing-sider. Omdirigering opstår kun, når brugere forsøger at få adgang til e-bank-sider, for den Brasilianske banker.
Omkring 88% af disse routere er beliggende i Brasilien, og kampagnen har raset siden i hvert fald midten af August, når vagtselskab Radware første gang opdaget noget mærkeligt.
Men ifølge en ny rapport offentliggjort i sidste uge af Kinesiske cyber-sikkerhed firma Qihoo 360, gruppen bag disse angreb har optrappet deres spil.
Ved at analysere store mængder af indsamlede data, Qihoo 360 s Netlab division fik et dybt kig ind i gruppen ‘ s modus operandi.
CNET: Vi kan ikke stoppe botnet-angreb alene, siger den AMERIKANSKE regering rapport
Ifølge Netlab eksperter, hackere scanning af den Brasilianske IP-plads for routere, der bruger svag eller ingen kodeord, adgang routere’ indstillinger, og udskiftning af legitime DNS-indstillinger med de ip-adresser, DNS-servere, som er under deres kontrol.
Denne ændring omdirigerer alle DNS-forespørgsler, der passerer gennem den inficerede routere til ondsindet DNS-servere, som reagerer med forkert info for en liste af 52 sites.
De fleste af disse websteder er Brasilianske banker og web-hosting-tjenester, og omdirigering fører tilbage til en phishing-side, der stjæler ofre’ legitimationsoplysninger for disse websteder.
Se også: Ti hacker bygger Huawei-baseret botnet, slavebinder på 18.000 enheder på én dag
Angribere gøre alt dette med hjælp af tre moduler, som Netlab har døbt Shell DNSChanger, Js DNSChanger, og PyPhp DNSChanger, som alle er baseret på programmeringssprog, hvor de er blevet kodet.
Det første modul, Shell DNSChanger, er skrevet i Skallen, og er en kombination af 25 Shell-scripts, der kan brute-force adgangskoder af 21 routere eller firmware-pakker.
“Denne sub-modul er kun anvendes let, med begrænset udbredelse af angriberen,” Netlab forskere har sagt i løbet af weekenden.
Det andet modul, Js DNSChanger, er skrevet i JavaScript, og er en samling af kun 10 JS scripts, der kan brute-force adgangskoder af seks routere eller firmware-pakker.
Dette er kun indsat på allerede kompromitteret, routere til at scanne og brute-force andre routere og enheder på interne netværk.
Det tredje modul, PyPhp DNSChanger, er skrevet i en kombination af Python og PHP, og er den mest potente af dem alle tre. Netlab siger dette modul er blevet indsat på over 100 Google Cloud servere, hvor hackerne er konstant scanning af Internettet til at identificere sårbare routere.
Dette modul bruger 69 angreb scripts, der kan brute-force adgangskoder af 47 forskellige routere og firmware-pakker.
TechRepublic: 6 grunde til, at vi har undladt at stoppe botnets
Desuden, dette modul bruger også en udnyttelse, der kan omgå autentifikation procedurer for nogle routere og ændre DNS-indstillinger. Denne udnyttelse (kendt som dnscfg.cgi sårbarhed) er blevet set udnyttet i Brasilien på en lignende måde i februar 2015, også bruges til at ændre DNS-indstillinger og omdirigere Brasilianske bank-brugere til phishing-websteder.
Netlab forskere siger, at de har formået at få adgang til dette tredje modul er admin område, hvor de opdagede, at PyPhp DNSChanger alene var smittet i løbet 62,000 routere bare af sig selv.
Billede: Qihoo 360
Hertil kommer, at dette tredje modul synes også at bruge, hvad der ser ud til at være stjålet Shodan API-nøgle til at identificere sårbare routere kan udnytte ved hjælp af Shodan tingenes internet søgemaskine.
Alt i alt, operatører af dette botnet, der Netlab har tilnavnet GhostDNS, kan behandle mere end 70 forskellige typer af routere, har allerede inficeret over 100.000 routere, og er i øjeblikket vært phishing-sider for over 70 forskellige tjenester (52 Webadresser fundet af Netlab forskere, plus en anden 19 phishing-websteder, der hostes på samme phishing-servere, men som GhostDNS ikke havde omdirigeret trafik til endnu).
Netlab siger, at det anmeldte berørte enheder, såsom Brasilianske Internetudbydere om den igangværende kampagne. En liste over de Webadresser, som GhostDNS er at omdirigere trafik til phishing-sider, sammen med en liste over routere, der er GhostDNS er kendt for at være i stand til at inficere, der er tilgængelige i Netlab ‘ s rapport her.
Relaterede dækning:
Mød Torii, en ny tingenes internet botnet langt mere sofistikeret end Mirai varianterNy Hakai IoT-botnet tager sigte på D-Link, Huawei, og Realtek routereMirai botnet forfattere undgå fængslet, efter at den “omfattende assistance” til FBINye Virobot malware virker som ransomware, keylogger, og botnetNye XBash malware kombinerer ransomware, coinminer, botnet, og worm funktioner i dødelige combo
Relaterede Emner:
Tingenes Internet
Sikkerhed-TV
Data Management
CXO
Datacentre
0