Dnshanger恶意软件回来了！劫持路由器攻击每一个连接的设备

因为广告可能会以这样一种方式感染你，不仅是你的系统，连到你网络上的每一台设备都会受到影响。

几天前，我们报道了一个名为大腿，将恶意代码隐藏在几个知名新闻网站上旋转的横幅广告像素中。

现在，研究人员发现，攻击者利用名为德辛格这是通过在图像数据中隐藏恶意代码的广告传播的。

还记得DNSChanger吗?没错，就是2012年感染了全球数百万台电脑的恶意软件。
Dnshanger的工作原理是更改受感染计算机中的DNS服务器条目，以指向攻击者控制下的恶意服务器，而不是任何ISP或组织提供的DNS服务器。

因此，每当一个受感染系统的用户在互联网上（比如facebook.com）查找一个网站时，恶意DNS服务器就会告诉你去一个钓鱼网站。攻击者还可以插入广告、重定向搜索结果或尝试安装驱动下载。

最令人担忧的是，黑客在最近广泛开展的恶意攻击活动中，将这两种威胁结合在一起。DNSChanger恶意软件正在使用Stegno技术传播，一旦它攻击你的系统，而不是感染你的电脑，它就会控制你不安全的路由器。

Proof Point的研究人员在166多种路由器型号上发现了这种独特的Dnshanger漏洞工具包。该工具包是独一无二的，因为其中的恶意软件不针对浏览器，而是针对运行未修补固件或使用弱管理员密码保护的路由器。

以下是攻击的工作原理：

首先，主流网站上隐藏图像数据中恶意代码的广告会将受害者重定向到承载Dnshanger漏洞工具包的网页。然后，攻击套件将目标锁定在不安全的路由器上。

一旦路由器遭到破坏，DNSChanger恶意软件会将自身配置为使用攻击者控制的DNS服务器，从而导致网络上的大多数计算机和设备访问恶意服务器，而不是访问与其官方域对应的服务器。
这些包含恶意JavaScript代码的广告通过向Mozilla STUN（NAT会话遍历实用程序）服务器触发WebRTC请求（web通信协议）来泄露用户的本地IP地址。

然后，STUN服务器发送一个ping，其中包含客户端的IP地址和端口。如果目标的IP地址在目标范围内，则目标会收到一个在PNG图像元数据中隐藏的虚假广告攻击代码。

恶意代码最终会将访问者重定向到一个托管DNSChanger的网页，该网页使用适用于Windows和Android的Chrome浏览器提供第二个隐藏在路由器攻击代码中的图像。

“这种攻击是由侦察阶段检测到的特定路由器模型决定的，”Proofpoint研究人员在一篇博客文章中写道。“如果没有已知的漏洞，攻击将尝试使用默认凭据”。

受影响路由器列表

然后，攻击会隐藏流量，并将访问的路由器与用于确定目标是否使用易受攻击路由器模型的166个指纹进行比较。据研究人员称，一些易受攻击的路由器包括：

• D-Link DSL-2740R
• NetGear WNDR3400v3（以及本系列中可能的其他型号）
• Netgear R6200
• COMTREND ADSL路由器CT-5367 C01_R12
• 倍耐力ADSL2/2+无线路由器P.DGA4001N

目前尚不清楚有多少人接触到了这些恶意广告，也不清楚这场运动已经持续了多长时间，但Proofpoint表示，这场运动背后的攻击者此前对每天感染100多万人负有责任。

Proofpoint没有披露任何显示恶意广告的广告网络或网站的名称。

建议用户确保其路由器运行最新版本的固件，并使用强密码进行保护。它们还可以禁用远程管理，更改其默认本地IP地址，并将受信任的DNS服务器硬编码到操作系统网络设置中。