新的DNS劫持攻击利用DLink路由器定位Netflix、PayPal、Gmail等用户
时间 : 2019-04-09 编辑 : DNS智能解析专家
在过去三个网络犯罪分子一直在进行的DNS劫持活动,其针对的是热门在线服务的用户,其中就包括Gmail、PayPal和Netflix。
作为活动的一部分,攻击者通过修改消费者路由器的DNS设置将用户重定向到流氓网站以窃取其登录凭据。
DNS劫持是一种恶意攻击,用于在用户通过受损路由器或攻击者修改服务器设置访问网站时将用户重定向到恶意网站。
安全研究人员发现,有四种不同的流氓DNS服务器用于将网络流量重定向为恶意目的,例如网络钓鱼攻击。所有漏洞利用攻击尝试都来自Google云平台(AS15169)网络上的主机。
这一持续的活动被确定为3波,在2018年12月29日的第一次DNS劫持攻击目标是D-Link DSL调制解调器的多种模式,包括D-Link DSL-2640B、DSL-2740R、DSL-2780B和DSL-526B。此次攻击中使用的流氓DNS服务器由加拿大OVH (IP地址66.70.173.48)托管。
在2019年2月6日尝试的第二次攻击中,针对相同类型的D-Link调制解调器,但是流氓DNS服务器具有不同的IP地址144.217.191.145(也由加拿大OVH托管)。
安全研究人员表示大多数“DNS请求被重定向到分配给犯罪友好托管服务提供商(AS206349)的两个IP,另一个指向一个通过托管域名(AS395082)货币化的服务”。
第三次攻击针对大量消费者路由器型号,包括ARG-W4 ADSL路由器、DSLink 260E路由器、Secutech路由器和TOTOLINK路由器。
这些攻击来自三个不同的谷歌云平台主机和两个流氓DNS服务器,两者均由Inoventica Services(195.128.126.165和195.128.124.131)在俄罗斯托管。
有超过10,000个消费者路由器容易受到不同型号的影响,包括:
D-Link DSL-2640B - 14,327
D-Link DSL-2740R - 379
D-Link DSL-2780B - 0
D-Link DSL-526B - 7个
ARG-W4 ADSL路由器 - 0个
DSLink 260E路由器 - 7个
Secutech路由器 - 17个
TOTOLINK路由器 - 2,265
在所有攻击中,运营商使用Masscan执行初始侦察扫描,以检查端口81 / TCP上的活动主机,然后才启动DNS劫持攻击。该活动旨在将Gmail、PayPal、Netflix、Uber和几个巴西银行的用户带人流氓域并诱骗他们的用户名和密码。
攻击者滥用谷歌的云平台进行这些攻击主要是因为拥有谷歌帐户的每个人都可以轻松访问“Google Cloud Shell”,这项服务可以直接在网络浏览器中为用户“提供相当于具有root权限的Linux VPS”,研究人员解释道。
谷歌的发言人称:“我们暂停了有问题的欺诈账户,并正在通过既定协议来识别出现的新账户。我们制定了检测和删除违反我们的服务条款和可接受使用政策的帐户的流程,并在检测到滥用行为时对帐户采取措施,包括暂停相关帐户。这些事件凸显了实施良好安全卫生的重要性,包括修复程序可用后修补路由器固件。“
来源:https://www.securityweek.com/ongoing-dns-hijacking-campaign-targets-gmail-paypal-netflix-users
