根據Avast的說法,DNS劫持是一個全球性的問題。今年早些時候,澳大利亞聯邦政府機構網絡安全中心(ACSC)宣布,它已經了解全球域名系統(DNS)基礎設施劫持活動,并發布了一份聲明,概述了組織如何保護其系統的最佳實踐。
網絡罪犯分子利用跨站點請求偽造攻擊(CSRF)來執行用戶不知情的命令,在這種情況下,修改用戶的DNS設置以執行網絡釣魚和加密挖掘攻擊,或通過惡意廣告進行攻擊。用于攻擊路由器的已知路由器漏洞利用工具包包括GhostDNS,Novidade。
截至目前為止,在2019年Avast已阻止了超過70,000次GhostDNS攻擊。GhostDNS漏洞利用工具包在全球地下黑客攻擊場所的許多地方非常流行,其中一些變種屬于2019年針對路由器的最活躍的漏洞利用工具包。僅在2月份,GhostDNS變種Novidade就試圖感染Avast用戶路由器超過260萬次,并通過三個活動傳播。根據Netlab360,GhostDNS 由一個復雜的系統組成,該系統包含網絡釣魚 Web 系統、Web 管理系統和惡意 DNS 系統。
DNS劫持導致網絡釣魚攻擊
路由器CSRF攻擊通常在用戶使用惡意廣告訪問受感染網站時啟動,該惡意廣告通過第三方廣告網絡提供給網站。Avast 經常在本地網站上發現不良感染,這些網站包含成人內容、非法電影和體育。只需訪問一個受到感染的站點,受害者就會被重定向到惡意網頁,利用工具包登陸頁面,在無需用戶交互的情況下,后臺會自動啟動對路由器的攻擊。
在許多情況下,由于密碼較弱,漏洞利用工具包可以成功攻擊路由器。它首先嘗試在網絡上找到路由器IP,然后嘗試使用各種登錄憑據猜測密碼。
在某些情況下,路由器被重新配置為使用流氓DNS服務器,將受害者重定向到看起來像真正在線銀行網站的網絡釣魚頁面。最近,Netflix成為DNS劫持者的熱門域名。
Avast數據顯示,以下在巴西活躍的組織的網站最常遭到劫持:
- santander(24%)
- Bradesco(19%)
- Banco do Brasil(13%)
- Itau BBA(13%)
- Netflix(11%)
- Caixa(10%)
- Serasa Experian(10%)
“受影響的機構通常因其受歡迎程度而成為攻擊目標,問題在于除了提醒客戶之外,他們幾乎無法避免其成為受害者,因為網絡釣魚網站不屬于他們的域名。” Avast的威脅情報分析師David Jursa。
惡意廣告和加密攻擊
除了網絡釣魚之外,網絡犯罪分子還使用DNS劫持將惡意廣告替換為合法廣告。例如,網絡犯罪分子可以劫持廣告平臺,如Outbrain,它可以集成到網站中,為網站訪問者提供廣告。如果廣告平臺的服務器地址在用戶的路由器上被劫持,則用戶將看到惡意廣告。例如,這些可能會誘使用戶下載更多惡意軟件,或者將他們引導到帶有陰影或非法內容的未經請求的網站。
此外,Avast威脅研究人員還看到網絡犯罪分子使用DNS劫持將惡意加密腳本推送到用戶的瀏覽器,因此用戶的機器被濫用以挖掘加密硬幣。這會導致高額能源費用,并縮短受影響設備的生命周期。
網站和用戶都應采取措施
David Jursa敦促消費者仔細檢查網頁并保護他們的家庭網絡。“用戶在訪問銀行等網站時應該小心,并確保該頁面具有有效的證書。他們可以通過檢查瀏覽器URL欄中的掛鎖來完成此操作。用戶還應經常將路由器的固件更新到最新版本,并使用強密碼設置路由器的登錄憑據。“
此外,各大網站也可以通過使用SSL證書對網站域名進行HTTPS加密(為網站瀏覽器加一把綠色的掛鎖),從而確保網站數據不被篡改和竊取,防止DNS劫持、網頁植入廣告等現象,提升網站的安全性。
