Trendmicro研究人員發(fā)現(xiàn)一個通過跨域偽造攻擊CSRF來修改DNS設(shè)置，以攻擊家用和小型辦公室用路由器的新利用套件Novidade。Novidade可以通過經(jīng)過認證的web應(yīng)用來攻擊受害者的移動設(shè)備或桌面應(yīng)用。一旦DNS設(shè)置被修改為惡意服務(wù)器，那么攻擊者就可以執(zhí)行域欺騙攻擊（pharming attack），重定向所有鏈接相同路由器的設(shè)備流量。

研究人員最早是2017年8月發(fā)現(xiàn)了Novidade樣本，之后還識別出2個變種。其中一個變種出現(xiàn)在GhostDNS攻擊活動中的DNSChanger系統(tǒng)中。因此，研究人員認為Novidade并不只是一個單一的攻擊活動，該利用套件可能被應(yīng)用于不同的攻擊活動中。其中一個可能性就是該利用套件工具被賣給多個組織或者源代碼被泄露了，因此威脅單元可以使用該工具或創(chuàng)建新的變種。其中識別的大多數(shù)攻擊活動使用釣魚攻擊來提取銀行憑證。但研究人員最近發(fā)現(xiàn)一起沒有特定地理攻擊范圍的攻擊活動，意味著攻擊者擴大了攻擊的范圍或有更多的威脅單元在使用該工具。

因為所有當前變種的web頁面上都有一個字符串“Novidade!”，因此研究人員將該利用套件命名為Novidade。

感染鏈

圖 1. Novidade感染鏈

研究人員發(fā)現(xiàn)Novidade工具通過不同的方式進行傳播，包括惡意廣告、注入被入侵的網(wǎng)站、即使消息應(yīng)用等。一旦受害者接收并點擊到Novidade的鏈接，加載的頁面會馬上執(zhí)行許多到預(yù)定義的本地IP地址列表的HTTP請求，這些請求是JavaScript Image函數(shù)生成的，預(yù)定義的本地IP地址列表是路由器最常用的IP。如果成功建立鏈接，Novidade就會查詢檢測到的IP地址來下載對應(yīng)的base 64編碼的利用payload。然后Novidade會用已有的所有利用對檢測到的IP地址進行盲攻擊。之后，用默認帳戶名和密碼列表嘗試登陸路由器，然后執(zhí)行CSRF攻擊來修改原來的DNS服務(wù)器為攻擊者的DNS服務(wù)器。一旦路由器被黑，所有連接到該路由器的設(shè)備都會受到域欺騙攻擊。

圖 2. Novidade通過即時消息傳播示例

下面是使用Novidade的一個典型例子。在該場景中，如果用戶嘗試連接到目標銀行域名，注入的DNS服務(wù)器會解析為一個有偽造銀行網(wǎng)站的IP地址。

圖 3.使用惡意廣告方法的Novidade攻擊流量示例

3個變種

研究人員一共發(fā)現(xiàn)了Novidade的三個變種，所有變種都共享前面提到的攻擊方法。但新變種在原有變種的基礎(chǔ)上進行了改進。第一個變種是2017年8月發(fā)現(xiàn)的，第二個變種與第一個變種的代碼結(jié)構(gòu)相似，加入了運行時JavaScript混淆來使用加載的頁面根據(jù)攻擊活動的不同而不同。GhostDNS的JavaScript子模塊就是Novidade利用套件的第二個變種。第三個變種保留了JavaScript混淆但重新修改了加載頁的代碼，并加入了新的特征通過發(fā)送到STUN服務(wù)器的WebRTC請求到提取受害者的本地IP地址。許多之前的利用工具也使用了這樣的技術(shù)。第三個變種允許攻擊者在加載頁中嵌入一個短URL鏈接來追蹤攻擊數(shù)據(jù)，一般嵌入的短鏈接都是用于重定向的。

目前的攻擊活動使用的是Novidade的第二個和第三個變種。

表 1. Novidade變種比較

下面是部分受影響的路由器型號：

• A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)

• D-Link DSL-2740R

• D-Link DIR 905L

• Medialink MWN-WAPR300 (CVE-2015-5996)

• Motorola SBG6580

• Realtron

• Roteador GWR-120

• Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)

• TP-Link TL-WR340G / TL-WR340GD

• TP-Link WR1043ND V1 (CVE-2013-2645)

Novidade攻擊活動

研究人員發(fā)現(xiàn)多起使用Novidade攻擊路由器的活動。有大量攻擊活動攻擊巴西的用戶，通過惡意廣告攻擊傳播惡意套件來竊取銀行信息。使用嵌入Novidade的短URL鏈接到追蹤統(tǒng)計數(shù)據(jù)，研究人員發(fā)現(xiàn)最大的一起攻擊活動自3月起已經(jīng)傳播了利用工具2400萬次。9月和10月研究人員共發(fā)現(xiàn)兩起使用不同方法來傳播Novidade的方式。

第一個攻擊活動使用2018年巴西總統(tǒng)選舉的即時消息應(yīng)用通知來作為誘餌。惡意頁面以對選舉的問卷展示。但Novidade也被注入到該頁面中。受害者在填寫問卷的時候，Novidade就攻擊了受害者的路由器。受害者會通過即時消息應(yīng)用來分享該問卷網(wǎng)址給30個人來接收問卷調(diào)查的結(jié)果。

一旦路由器被黑，就會將DNS服務(wù)器修改為144[.]217[.]24[.]233。但是現(xiàn)在已經(jīng)無法檢查域攻擊中使用的域名了，因為DNS服務(wù)器已經(jīng)宕機了。

圖 4.嵌入了Novidade利用套件的總統(tǒng)大選問卷

另一起攻擊活動是2018年10月底開始的，研究人員最初發(fā)現(xiàn)多個網(wǎng)站被注入了將用戶重定向到Novidade的iframe。其中，研究人員發(fā)現(xiàn)攻擊者注入攻擊的地區(qū)不限于巴西，而是分布在多個不同的國家。被黑的路由器的DNS設(shè)定被修改為位于108[.]174[.]198[.]177的惡意DNS服務(wù)器，當受害者訪問Google.com域名時，會被解析到IP地址107[.]155[.]132[.]183。一旦受害者訪問目標域名，馬上就會看到一個社會工程攻擊頁面要求受害者下載和安裝軟件。研究人員無法驗證下載的惡意軟件到底是什么，因為下載鏈接已經(jīng)失效了。但看起來應(yīng)該是惡意軟件或其他用戶不想安裝的應(yīng)用。這種技術(shù)也在其他攻擊活動中多次出現(xiàn)過了。

圖 5.將受害者重定向到Novidade利用套件的注入的隱藏iframe代碼

圖 6. 偽造的軟件下載頁面

建議和最佳實踐

為了應(yīng)對Novidade這樣的利用工具，研究人員建議用戶定期更新設(shè)備的固件。默認用戶名和密碼也是利用的常見入口，因此對所有賬戶使用強密碼是非常重要的。因此，修改路由器的默認IP地址，關(guān)閉遠程訪問特性，來減小攻擊者的機會。最后，用戶應(yīng)該使用HTTPS來訪問敏感信息以防域攻擊帶來的危害。