安全公司ProofPoint的研究人員于上周二發(fā)布了一個報告，報告中指出黑客正在通過更改DNS設(shè)置劫持巴西網(wǎng)民的網(wǎng)絡(luò)連接。攻擊者主要是利用家用路由器中存在的安全漏洞入侵，然后修改路由器DNS設(shè)置，這種攻擊被稱為pharming(網(wǎng)址嫁接攻擊)。

[[128788]]

科普：網(wǎng)址嫁接攻擊

網(wǎng)址嫁接攻擊是一種重新導(dǎo)向的詐騙技巧，由網(wǎng)絡(luò)釣魚衍生而來。主要通過在網(wǎng)頁中植入木馬或者利用域名服務(wù)器上的漏洞將受害者錯誤的引導(dǎo)到偽造的網(wǎng)站中，并伺機竊取證書和敏感信息。

通常情況下，網(wǎng)址嫁接攻擊的成功率非常高，一般不會被發(fā)現(xiàn)。通過更改路由器的DNS設(shè)置，受害者只要輸入真實域名或者合法網(wǎng)站地址，攻擊者就可將其重定向到一個偽造網(wǎng)站上。另外攻擊者還可以利用pharming(網(wǎng)址嫁接攻擊)發(fā)動中間人攻擊，例如攔截網(wǎng)站上的郵件、登錄名和密碼，或者劫持用戶的搜索結(jié)果等。

從釣魚開始發(fā)起CSRF攻擊

安全研究人員從2014年12月份就開始觀察這種行為了，他們發(fā)現(xiàn)攻擊主要是從一封垃圾郵件開始的，并且查到這封垃圾郵件是從巴西最大的電信公司發(fā)出的，發(fā)送對象是UTStarcom和TP-Link家用路由器用戶。這些郵件中都包含一個惡意鏈接，一旦受害者點擊了這個鏈接，就會被重定向到一個含有該路由器跨站請求偽造(CSRF)漏洞利用程序(exploit)的頁面上。

攻擊成功后，攻擊者即獲得了路由器控制臺的訪問權(quán)限，他們會使用默認密碼或暴力破解設(shè)備，把路由器初始DNS服務(wù)器的IP地址更改為惡意的DNS IP地址。

以前，攻擊者會把primary和secondaryDNS記錄都修改掉，但是據(jù)最近的觀察發(fā)現(xiàn)，攻擊者只會更改primaryDNS，而secondary DNS則會設(shè)置成谷歌公共DNS 8.8.8.8。

網(wǎng)址嫁接式攻擊不易被發(fā)現(xiàn)，而且成功率非常高。所以建議用戶使用老辦法：更改路由器密碼，越復(fù)雜越好。