網(wǎng)絡(luò)罪犯開發(fā)了一種基于Web的攻擊工具，當用戶訪問受感染網(wǎng)站或查看惡意廣告時，該工具將大規(guī)模劫持路由器。

[[135332]]

這種攻擊的目標是使用攻擊者控制的流氓服務(wù)器來取代路由器中配置的DNS(域名系統(tǒng))服務(wù)器，這讓攻擊者可以攔截流量、欺騙網(wǎng)站、劫持搜索查詢、注入惡意廣告到網(wǎng)頁等。

DNS就像是互聯(lián)網(wǎng)的電話簿，它發(fā)揮著關(guān)鍵作用。它將域名(方便用戶記住)轉(zhuǎn)換成數(shù)字IP(互聯(lián)網(wǎng)協(xié)議)地址，讓計算機可互相通信。

DNS以分級的方式運作。當用戶在瀏覽器中輸入網(wǎng)站的名稱，瀏覽器會向操作系統(tǒng)請求該網(wǎng)站的IP地址。然后操作系統(tǒng)會詢問本地路由器，查詢其中配置的DNS服務(wù)器—通常是由互聯(lián)網(wǎng)服務(wù)提供商運行的服務(wù)器。接著，該請求到達權(quán)威服務(wù)器來查詢域名或者服務(wù)器會從緩存中提供該信息。

如果攻擊者進入這個過程中，他們可以回復(fù)一個流氓IP地址。這會欺騙瀏覽器去尋找不同服務(wù)器的網(wǎng)站;例如攻擊者可以制造假的網(wǎng)站來竊取用戶的登錄信息。

獨立安全研究人員Kafeine最近觀察到從受感染網(wǎng)站發(fā)出的路過式攻擊，用戶重定向到罕見的基于Web的漏洞利用工具包，該工具包專門用來破壞路由器。

這些漏洞利用工具包通常在地下市場進行銷售，由攻擊者用來瞄準過時瀏覽器插件中的漏洞，包括Flash Player、Java、Adobe Reader或Silverlight。其目標是在沒有更新軟件的計算機上安裝惡意軟件。

這種攻擊通常是這樣運作：惡意代碼注入到受感染網(wǎng)站或惡意廣告中，重定向用戶的瀏覽器到攻擊服務(wù)器，確定其操作系統(tǒng)、IP地址、地理位置、瀏覽器類型、已安裝的插件和其他詳細信息?；谶@些信息，服務(wù)器然后會從其武器庫選擇并啟動漏洞利用攻擊包。

Kafeine觀察到的攻擊則不痛。谷歌Chrome用戶被重定向到惡意服務(wù)器，該服務(wù)器會加載代碼旨在確定這些用戶使用的路由器型號，并取代該設(shè)備中配置的DNS服務(wù)器。

很多用戶認為，如果其路由器沒有設(shè)置進行遠程管理，攻擊者就無法從互聯(lián)網(wǎng)利用其Web管理界面的漏洞，因為這種界面只能從本地網(wǎng)絡(luò)內(nèi)進行訪問。

但并不是這樣。這種攻擊利用被稱為跨站點請求偽造(CSRF)的技術(shù)，讓惡意網(wǎng)站迫使用戶的瀏覽器在不同的網(wǎng)站執(zhí)行惡意操作。目標網(wǎng)站可以是路由器的管理界面--只能通過本地網(wǎng)站訪問的。

互聯(lián)網(wǎng)中很多網(wǎng)站已經(jīng)部署了抵御CSRF的防御措施，但路由器仍然缺乏這種保護。

Kafeine發(fā)現(xiàn)的路過式攻擊工具包利用CSRF來檢測來自不同供應(yīng)商的40多種路由器型號，這些供應(yīng)商包括Asustek Computer、Belkin、D-Link、Edimax Technology、Linksys、Medialink、微軟、Netgear、深圳吉祥騰達公司、TP-Link Technologies、Netis Systems、Trendnet、ZyXEL Communications和Hootoo。

根據(jù)檢測到的型號，該攻擊工具會利用已知命令注入漏洞或利用共同管理登錄憑證來改變路由器的DNS設(shè)置。其中也利用了CSRF。

如果該攻擊成功的話，路由器的主DNS服務(wù)器設(shè)置為由攻擊者控制的服務(wù)器，而次級服務(wù)器(用于故障恢復(fù))則設(shè)置為谷歌的公共DNS服務(wù)器。這樣的話，如果惡意服務(wù)器臨時停機，路由器仍然有完善的DNS服務(wù)器來解析查詢(+本站微信networkworldweixin)，用戶也不會懷疑和重新配置該設(shè)備。

根據(jù)Kafeine表示，這種攻擊中利用的漏洞之一影響著來自多個供應(yīng)商的路由器。有些供應(yīng)商已經(jīng)發(fā)布了固件更新，但在過去幾個月中，更新的路由器數(shù)量仍然非常低。

大部分路由器需要手動更新，這個過程可能需要一些專業(yè)技能，這也是為什么很多路由器沒有更新的原因。

攻擊者也知道這一點。事實上，這個漏洞利用工具包瞄準的漏洞還包括2008年和2013年的兩個漏洞。

這個攻擊似乎已經(jīng)大規(guī)模執(zhí)行。根據(jù)Kafeine表示，在五月的第一周，攻擊服務(wù)器每天大約有25萬訪問用戶，峰值在5月9號達到100萬。其中影響最大的國家是美國、俄羅斯、澳大利亞、巴西和印度。

為了保護自身，用戶應(yīng)該定期檢查制造商網(wǎng)站中針對其路由器型號的固件更新，并進行安裝。如果路由器允許的話，他們還應(yīng)該限制管理界面的訪問到通常沒有設(shè)備會使用的IP地址，但在需要更改路由器的設(shè)置時他們可以手動分配到其計算機。