Switcher利用流氓DNS服務(wù)器攻擊路由器
如果你可利用Android木馬程序來(lái)感染本地WiFi接入點(diǎn),并可利用DNS劫持攻擊每臺(tái)連接到該網(wǎng)絡(luò)的設(shè)備,那何必浪費(fèi)時(shí)間去攻擊Android設(shè)備?
卡巴斯基研究人員報(bào)告稱他們發(fā)現(xiàn)一種新型Android惡意軟件,他們稱之為“Trojan.AndroidOS.Switcher”,它做的正是上述的事情:當(dāng)它啟動(dòng)并確定自己是在目標(biāo)無(wú)線網(wǎng)絡(luò)中后,該惡意軟件會(huì)暴力破解本地WiFi路由器密碼。如果成功的話,該惡意軟件會(huì)重置默認(rèn)域名系統(tǒng)(DNS)服務(wù)器為自己的服務(wù)器。這樣的話,它就可對(duì)連接到該網(wǎng)絡(luò)的其他設(shè)備或系統(tǒng)執(zhí)行幾乎任何類型的攻擊。
卡巴斯基移動(dòng)惡意軟件分析師Nikita Buchka在博客中寫道:“這種攻擊并不是攻擊用戶,而是攻擊用戶連接的WiFi,更準(zhǔn)確地說(shuō),無(wú)線路由器。”這種新的Android木馬程序通過(guò)在路由器管理Web界面暴力破解密碼來(lái)獲得訪問(wèn)權(quán)限。“如果攻擊成功,該惡意軟件會(huì)更改路由器設(shè)置中DNS服務(wù)器的地址,因此它可將受感染W(wǎng)iFi網(wǎng)絡(luò)中設(shè)備的所有DNS查詢請(qǐng)求路由到攻擊者的服務(wù)器,這種攻擊也被稱為DNS劫持攻擊。”
由于設(shè)備通常重置其默認(rèn)DNS服務(wù)器配置以反映本地WiFi路由器中默認(rèn)值,這種新型Android木馬程序可迫使通過(guò)路由器連接的設(shè)備指向受攻擊者控制的流氓DNS服務(wù)器。其結(jié)果是,當(dāng)攻擊者可訪問(wèn)路由器DNS設(shè)置時(shí),幾乎可控制該路由器服務(wù)的網(wǎng)絡(luò)中所有的流量。
Buchka稱,如果這個(gè)Switcher惡意軟件成功安裝路由器中,它可讓用戶面臨“廣泛的攻擊”威脅,例如網(wǎng)絡(luò)釣魚攻擊。“攻擊者篡改路由器設(shè)置的主要危害是,即使路由器重啟新設(shè)置仍將存在,并且DNS劫持很難被發(fā)現(xiàn),”他表示,“即使流氓DNS服務(wù)器被禁用一段時(shí)間,則將使用輔助DNS(設(shè)置為8.8.8.8),用戶和/或IT也不會(huì)收到警告。”
通過(guò)設(shè)置輔助DNS服務(wù)器為谷歌的DNS服務(wù)--IP地址為8.8.8.8,攻擊者可確保即使自己的惡意DNS服務(wù)器不可用,用戶也不會(huì)遭遇任何中斷。
當(dāng)Switcher進(jìn)入用戶的Android設(shè)備后,它會(huì)檢查本地?zé)o線網(wǎng)絡(luò)的基本服務(wù)集標(biāo)識(shí)符(本地網(wǎng)絡(luò)接入點(diǎn)的MAC地址),并將其報(bào)告給該木馬程序的命令控制網(wǎng)絡(luò),再進(jìn)行暴力破解以及重新配置路由器。該惡意軟件還會(huì)嘗試識(shí)別正在使用哪個(gè)互聯(lián)網(wǎng)服務(wù)提供商,以便它可重新配置路由器為使用流氓DNS服務(wù)器,然后可對(duì)路由器系統(tǒng)管理的Web界面進(jìn)行暴力攻擊。
卡巴斯基報(bào)告了兩種版本的Android木馬程序:其中一個(gè)版本偽裝成中文搜索引擎百度移動(dòng)客戶端,另一個(gè)偽裝成流行中文應(yīng)用(用于共享WiFi訪問(wèn)信息)。根據(jù)卡巴斯基對(duì)該惡意軟件中硬編碼的輸入字段名稱的分析,以及對(duì)該Android木馬程序試圖訪問(wèn)的HTML文件結(jié)構(gòu)的分析,卡巴斯基判斷該Switcher只會(huì)感染TP-LINK WiFi路由器。
Switcher攻擊者將其命令控制系統(tǒng)搭載在用于推廣其假WiFi接入應(yīng)用的網(wǎng)站;根據(jù)卡巴斯基表示,該網(wǎng)站還包含Switcher感染計(jì)數(shù)器。卡巴斯基報(bào)告稱1280個(gè)WiFi網(wǎng)絡(luò)已經(jīng)成功被滲透。卡巴斯基建議用戶檢查其DNS配置是否已經(jīng)配置為任何流氓DNS服務(wù)器(101.200.147.153、 112.33.13.11和120.76.249.59)。如果網(wǎng)絡(luò)已經(jīng)被感染,則可重置DNS服務(wù)器配置以及默認(rèn)路由器管理密碼來(lái)緩解攻擊;我們還可通過(guò)更改系統(tǒng)管理默認(rèn)用戶ID和密碼來(lái)防止攻擊。
