针对家用及SOHO路由器的Novidade EK

一、媒介

近来我们发清楚明了一个新的exploit kit(破绽使用对象集):Novidade。Novidade以家用路由器或者小型办公路由器为目标,经由过程CSRF)(跨站哀求捏造)改动路由器DNS设置,使进击者能够经由过程Web利用进击受害者移动设备或桌面设备。一旦将DNS设置成恶意办事器,进击者就可以履行域名诈骗(pharming)进击,将目标域名IP地址解析为进击者节制的办事器,将连接至相同路由器的所有设备上的目标网站流量全都重定向至进击办事器。

我们最早在2017年8月发明过Novidade样本,之后又发清楚明了两款不合的变种。虽然此中一个变种与近来GhostDNS进击活动中的DNSChanger系统有关,但我们觉得Novidade并不局限于某次进击活动,由于其他活动也用到了这个EK。这可能有几个缘故原由,要么这套EK对象已经出售给多个进击组织,要么EK对象源代码已泄露,进击者可以直接应用或者创建自己的变种。我们发明大年夜部分进击活动都应用钓鱼技巧来偷取巴西海内的银行凭证,然而近来我们发明有些进击活动目标并不局限于特定的地舆位置,这注解进击者正在扩大年夜范围,或者有更多的进击者在应用这款EK。

我们将这款EK命名为Novidade,在葡萄牙语中代表“novelty”(别致),这是由于当前所有变种的web页面标题中都包孕“Novidade!”这个字符串。

二、感染链

图1. Novidade感染链

我们发明进击者会经由过程各类措施传播Novidade,此中包括恶意广告、注入已入侵的网站以及即时通讯对象。一旦受害者点击Novidade链接,那么进击页面首先会使用JavaScript Image函数天生几个HTTP地址,哀求预定义的本地IP地址列表,这些IP地址平日由路由器所应用。假如成功建立连接,Novidade会查询该IP地址,下载对应的破绽使用payload,payload颠末Base64编码处置惩罚。Novidade会应用所有的破绽payload来进击该IP地址,然后应用一组默认的账户名及密码考试测验登录路由器,接着履行CSRF进击以便将原始DNS办事器指向进击者的DNS办事器。一旦路由器被进击者入侵,连接该路由器的所有设备都存在域名诈骗进击风险。

图2. 经由过程即时消息通报Novidade

应用Novidade的范例进击活动如下图所示。在如了局景中,假如用户考试测验连接目标银行域名,恶意DNS办事器就会将地址解析成托管仿冒银行网站的IP地址。

图3. 范例的Novidade进击流量

三、变种阐发

我们发清楚明了Novidade的三款变种,这些变种都遵照前文提到的进击措施。然而,较新的变种对最原始的变种做了改进。第一个版本最早于2017年8月在收集中呈现,是最为根基的版本,在早期进击活动中应用最多。第二个版本代码布局类似,添加了一个运行时JavaSciprt肴杂器(obfuscator),使进击历程中的进击页面有所不合。GhostDNS的JavaScript子模块便是Novidade的第二个变种。第三个版本保留了JavaScript肴杂器,但改进了进击页面代码,并添加了一个新功能,能够经由过程WebRTC哀求STUN办事器获取受害者的本地IP地址。第三个变种同样支持进击者在进击页面中嵌入短链接,用来跟踪进击统计数据。

今朝的进击活动中同时用到了第二款以及第三款Novidade变种。

表1. 三款Novidade变种比较

根据我们对恶意代码、收集流量以及公布的PoC代码的阐发,以下路由器型号可能会受进击影响(列表并不完备)。2018年9月,360 Netlab颁发过阐发GhostDNS的一篇文章,文中包孕了此中某些路由器型号。

A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)

D-Link DSL-2740R

D-Link DIR 905L

Medialink MWN-WAPR300 (CVE-2015-5996)

Motorola SBG6580

Realtron

Roteador GWR-120

Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)

TP-Link TL-WR340G / TL-WR340GD

TP-Link WR1043ND V1 (CVE-2013-2645)

四、阐发Novidade进击活动

我们发明多有个进击活动应用Novidade来进击路由器。许多进击活动针对的是巴西用户,经由过程恶意广告进击传播对象集,偷取用户银行信息。我们使用Novidade中内嵌的短链接来跟踪统计数据,发明自3月份以来,规模最大年夜的进击活动送达这款EK已经累计2400万次。在9月份及10月份,我们还发明有两个进击活动应用不合的要领来送达Novidade。

第一个进击活动使用到了即时通讯新的看护消息,内容与2018年巴西总统选举有关。恶意页面冒充成选举候选人的夷易近意查询造访页面,然而页面中注入了Novidade。事实证实这种进击伎俩异常狡猾,用户在填写查询造访网页时Novidade就可以进击受害者路由器。随后,进击者还要求受害者经由过程即时通讯对象向30小我分享该查询造访网站,才能收到候选人查询造访结果。

一旦成功入侵路由器,进击者就会将DNS办事器改动为144[.]217[.]24[.]233。不幸的是,当时我们无法确定域名诈骗的目标网站,由于在阐发历程中,这个DNS办事器已经下线。

图4. 冒充的候选人查询造访网站,此中嵌入Novidade EK。网页底部的问题是咨询用户是否已经参加过选举查询造访

我们还察看到从2018年10月份开始的另一个进击活动,当时我们留意到有多个网站被入侵,网页上被注入一个iframe,会将用户重定向至Novidade。在这个案例中,我们看到进击者会将进击范围扩展到其他国家的网站中,并不局限于巴西境内。被入侵路由器的DNS设置会被改动为108[.]174[.]198[.]177的恶意DNS办事器,一旦受害者造访google.com域名,就会被重定向至某个IP地址(107[.]155[.]132[.]183)。一旦受害者造访目标域名,就会看到进击者构造的社会工程学页面,要求用户下载并安装某个软件。我们无法验证这究竟是什么软件,由于当时下载链接已经掉效。然而,这很有可能是一款恶意软件或者PUA(potentially unwanted application,潜在有害利用)软件,由于之提高击者已经多次应用过这种技巧。

[1] [2]下一页

图5. 被入侵的网站中嵌入了一个暗藏的iframe,会将用户重定向至Novidade EK

图6. 捏造的软件下载页面

五、防护建议

为了防御类似Novidade的破绽使用对象集,我们建议用户始终维持设备固件已进级到最新版本。进击者常常使用设备的默认用户名及密码,是以所有用户账户都应该应用强密码。此外,大年夜家还可以改动路由器的默认IP地址,禁用远程造访功能,尽可能削减进击者从外部窜改设备的可能性。着末,进击者应该应用应用安然Web连接(HTTPS)来造访敏感网站,避免遭受域名诈骗进击。

在本月更新中,Trend Micro™ Deep Security以及Vulnerability Protection办理规划供给了如下DPI规则,可以保护用户系统免受这类破绽进击:

1130410,WEB Multiple Devices Unauthenticated Remote DNS Change Vulnerability

1131093,WEB Multiple Devices Unauthenticated Remote DNS Change Vulnerability

六、IoC

Novidade EK域名

globo[.]jelastic[.]servint[.]net

landpagebrazil[.]whelastic[.[net

light[.]jelastic[.]servint[.]net

Novidade EK IP地址

52[.]47[.]94[.]175

社会工程学进击域名

pesquisaeleitoral2018[.]online

pesquisaparapresidente[.]online

恶意DNS办事器

108[.]174[.]198[.]177

144[.]217[.]24[.]233

172[.]245[.]14[.]114

192[.]3[.]178[.]178

192[.]3[.]190[.]114

192[.]3[.]8[.]186

198[.]23[.]140[.]10

198[.]46[.]131[.]130

23[.]94[.]149[.]242

23[.]94[.]190[.]242

23[.]95[.]82[.]42

域名诈骗Web办事器

107[.]155[.]132[.]183

178[.]159[.]36[.]75

91[.]234[.]99[.]242

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包