日前，網(wǎng)絡(luò)安全公司SECURI發(fā)布報告稱，Politica Estadao網(wǎng)站嵌入的iframe中夾帶了一個針對家用路由器admin用戶密碼的暴力破解模塊。在9月2日類似的攻擊方式曾由卡巴斯基實驗室的Fabio Assolini報告過，并表示他曾發(fā)現(xiàn)過類似的重定向攻擊導(dǎo)致受害人訪問了冒充巴西銀行的釣魚網(wǎng)站的事件。‍‍‍‍

“截止到目前，這個‘基于網(wǎng)絡(luò)’的方式對于巴西人來說還算是一種比較新的攻擊方式，我們相信這種方式將會迅速蔓延而且受害者的數(shù)量會急劇增長。”Assolini在他的blog中如是說。

Assolini表示，攻擊最開始的時候是受害者(大多數(shù)來自于巴西和美國)點了一封釣魚Email中的惡意鏈接，該鏈接指向一個成人網(wǎng)站，而該成人網(wǎng)站后臺運(yùn)行了一個惡意的script文件，該腳本文件首先用默認(rèn)密碼猜解路由器的密碼，如果不對，便會請求受害人的無線接入點的憑據(jù)。

Assolini說：“這次攻擊中，我們在托管的釣魚銀行網(wǎng)站中找到了5個域名和9臺DNS服務(wù)器。”同時，SECURI公司的人告訴記者，該攻擊方式與這一次的 Estadao的攻擊方式并沒有太大的不同。

SECURI的研究員Fioravante告訴我們，當(dāng)受害者瀏覽網(wǎng)站的時候，payload(攻擊載荷)將一直嘗試用admin、root、gvt等常用的username和默認(rèn)密碼登陸路由器，一刻也不停歇。

嵌入式框架攻擊(iframe attack)是一種流行的攻擊方式。受到影響的網(wǎng)站通常會嵌入一個iframe，該iframe會將受害者的瀏覽網(wǎng)頁重定向到一個黑客控制的網(wǎng)站，同時靜默下載一些惡意軟件或者直接重定向到一個釣魚網(wǎng)站。

“我們經(jīng)?；ㄙM(fèi)很多時間去討論web服務(wù)器感染或者下載的驅(qū)動問題，但是卻極少聊到其他的可能惡意行為。而這(釣魚攻擊)僅僅是駭客大規(guī)?？捎玫墓舴绞降囊粋€小例子而已。”Souza說。

Souza的分析指出，隱藏的第一個iframe注入加載了一些laspeores.com中的內(nèi)容，接著第二個iframe加載了一個vv2.com生成的一個短鏈接，然后第三個iframe中包含了一個惡意的JS腳本文件，該腳本重定向了一個第三方網(wǎng)站。

“腳本首先獲取受害者的本地IP地址，”Souza說，“然后，根據(jù)這個本地IP猜測路由器的IP地址，并使用另外的腳本文件對路由器進(jìn)行下一步的猜解過程。”

黑客們深知家庭或者小型企業(yè)使用個路由器中的大部分都有一些不同等級的漏洞，其中很多更是直接使用弱口令便可以直接登錄路由器。

因此，一個攻擊者便可以通過更改DNS將受害者的流量劫持到攻擊者控制的服務(wù)器上面，從而使得受害者的一些賬號密碼很容易被竊取。

截止到2013年底，這種修改家庭或者小型企業(yè)路由DNS以劫持受害者流量到惡意網(wǎng)站的中間人攻擊方式已經(jīng)成為一種廣為人知的方式。

Team Cymru發(fā)表了攻擊報告，報告表明，超過30萬臺的路由器受到了波及，而這些路由器很多來自于一些知名的制造商比如D-LINK、TP-LINK等。研究人員還說，這與今年春天在波蘭爆發(fā)的大規(guī)模銀行攻擊事件十分類似，但是應(yīng)該是不同的黑客團(tuán)伙進(jìn)行的。而上次的針對波蘭銀行的攻擊方式正是通過劫持受害者的DNS從而盜取受害者的銀行賬戶和密碼。

在上個月的DEFCON會議上，列舉了很多我們身邊的SOHO路由器的安全問題。在大賽期間，有15個0day漏洞被披露并證實存在，其中七成與路由器相關(guān)，而其他的攻擊方式也會導(dǎo)致內(nèi)網(wǎng)信息泄露。Tripwire的研究員Craig是會議的最大贏家，他說：

很多路由器缺乏服務(wù)器認(rèn)證，而是直接在瀏覽器上面進(jìn)行身份驗證，而獲取到這些密碼其實并不困難。

[本文參考來源‍http://threatpost.com/hacked-political-news-site-targets-router-dns-settings]