GhostDNS：新的DNS转换器僵尸网络劫持了超过100000个路由器

配音鬼魂，该活动与臭名昭著的Dnshanger恶意软件有许多相似之处，该恶意软件通过更改受感染设备上的DNS服务器设置来工作，允许攻击者通过恶意服务器路由用户的互联网流量，并窃取敏感数据。
根据网络安全公司奇虎360的NetLab的一份新报告，就像常规的Dnshanger活动一样，GhostDNS扫描使用弱密码或根本没有密码的路由器的IP地址，访问路由器的设置，然后将路由器的默认DNS地址更改为攻击者控制的地址。

GhostDNS系统：模块和子模块列表

GhostDNS系统主要包括四个模块：

1） Dnshanger模块：这是GhostDNS的主要模块，旨在根据收集的信息利用目标路由器。

Dnschenger模块由三个子模块组成，研究人员称之为Shell Dnschenger、Js Dnschenger和PyPhp Dnschenger。



研究人员说：“它的功能结构主要分为扫描器、有效载荷生成器和攻击程序。Js DNSChanger程序通常被注入钓鱼网站，因此它与钓鱼网站系统一起工作”。


该子模块是DNSChanger的核心模块，允许攻击者扫描互联网以查找易受攻击的路由器。

2） 网络管理模块：虽然研究人员还没有太多关于这个模块的信息，但它似乎是一个管理面板，用于攻击者登录页面的安全保护。

3） 恶意DNS模块：该模块负责从攻击者控制的web服务器解析目标域名，该服务器主要涉及银行和云托管服务，以及一个属于名为Avira的安全公司的域名。

NetLab研究人员说：“我们无法访问Rouge DNS服务器，因此我们无法确定有多少DNS名称被劫持，但通过查询Alexa Top1M和我们的DNSMon的Top1M域与恶意DNS服务器（139.60.162.188），我们能够找到总共52个被劫持的域名”。

4） 网络钓鱼模块：当目标域通过恶意DNS模块成功解析时，网络钓鱼模块的目标是为该特定网站提供正确的假版本。

主要针对巴西用户的GhostDNS恶意软件

据研究人员称，在9月21日至27日期间，GhostDNS活动危害了超过10万台路由器，其中87.8%的设备（相当于87800台）仅位于巴西，这意味着巴西是GhostDNS攻击者的主要目标。
另请阅读：VPNFilter路由器恶意软件新增7个网络攻击模块

研究人员说：“目前，这场运动主要集中在巴西，我们统计了10万多个受感染的路由器IP地址（87.8%位于巴西），涉及70多个路由器/固件，50多个域名，例如巴西的一些大银行，甚至Netflix、Citibank.br被劫持，以窃取相应的网站登录凭据”。

GhostDNS战役规模很大，利用不同的攻击向量，采用自动攻击过程，对用户构成了真正的威胁。因此，建议用户保护自己。

如何保护家庭路由器免受黑客攻击

为了避免自己成为此类攻击的受害者，建议您确保路由器正在运行最新版本的固件，并为路由器门户网站设置强密码。

您还可以考虑禁用远程管理，更改其默认本地IP地址，并将可信DNS服务器硬编码到路由器或操作系统中。

NetLab研究人员还建议路由器供应商增加路由器默认密码的复杂性，并增强其产品的系统安全更新机制。