趋势科技的研究人员于本周二(12月11日)发布消息称,他们已经发现了一种新的漏洞利用工具包(Exploit Kit,EK),并将其命名为“Novidade”。它通过跨站点请求伪造(CSRF)来篡改家用或SOHO路由器的域名系统(DNS)设置,进而针对受害者的移动设备或PC发起攻击。
DNS的功能是将网站的域名解析为实际的IP址,当用户在浏览器中输入一个域名之后,这个域名请求首先会被发送到DNS服务器,并被解析为对应的IP地址,然后用户才能连接上对应的网站。
通过将目标路由器的原始DNS设置篡改为恶意服务器的设置,攻击者可以执行域欺骗(pharming)攻击——当用户通过连接到该路由器的任何一台设备输入一个域名之后,这个域名将被解析为恶意IP地址,从而将用户重定向到一个由攻击者设定的恶意网站。
研究人员表示,他们最初是在2017年8月份发现了第一个Novidade样本,随后还发现了另外两个不同的版本。虽然其中一个版本在近期的GhostDNS恶意软件活动中得到了使用,但研究人员认为Novidade并不局限于单个活动,因为它同时也被发现出现在了其他不同的活动中。这种情况表明,Novidade要么是被最初的攻击者出售给了其他的网络犯罪团伙,要么是源代码遭到了泄露,从而导致其他的网络犯罪团伙能够使用它或创建自己的自定义版本。
研究人员还表示,他们最初发现的大多数活动都旨在利用网络钓鱼攻击来获取巴西用户的银行凭证,但他们最近在其他国家/地区也观察到了类似的活动。这可能来源于两种情况:要么是最初的攻击者扩大了他们的目标区域,要么是其他网络犯罪团伙也开始了对Novidade的使用。
感染链
图1. Novidade感染链
研究人员发现,攻击者利用了多种渠道来投递Novidade,包括恶意广告、遭入侵的网站,以及即时通讯软件。一旦受害者接收并点击了指向Novidade的链接,着陆页将首先处理由JavaScript Image函数生成的几个HTTP请求,这些请求将被发送到一个预设的本地IP地址列表(这些IP地址通常由路由器使用)。如果连接成功建立,Novidade将查询检测到的IP地址,以下载对应的exploit payload(Base64编码)。然后,Novidade将利用下载的exploit payload来尝试攻击所有检测到的IP地址。接下来,它会使用一个默认的用户名和密码组合来进行路由器登录尝试,然后执行CSRF攻击,以便对原始的DNS服务器IP地址篡改为攻击者的DNS服务器IP地址。一旦路由器被攻破,所有连接到它的设备都容易受到域欺骗攻击。
图2. 一个通过即时通讯软件来投递Novidade的示例
通过下面的这个示例,我们可以很清楚地看到攻击者是如何利用Novidade来执行域欺骗攻击的。在这个示例中,用户试图连接到一个银行网站。然而,恶意DNS服务器会将用户输入的域名解析为一个托管虚假银行网站的IP地址。
图3. Novidade攻击的流量示例
三个版本
研究人员表示,他们一共发现了Novidade的三个版本,它们都采用了上述相同的攻击方法。但与最初的版本相比,较新的版本得到了一些改进。第一个版本发现于2017年8月份,它在早期活动中被使用得最多。第二个版本具有类似的代码结构,攻击者还为它添加了一个JavaScript混淆器,以使着陆页看起来不同,具体取决于要攻击的目标。需要指出的是,GhostDNS恶意软件的JavaScript子模块实际上就是Novidade漏洞利用工具包的第二版。第三个版本保留了JavaScript混淆器,但着陆页的代码得到了改进。另外,攻击者还为它添加了一个新功能——通过向运行WebRTC的STUN服务器发出请求来检索受害者的本地IP地址,而这种技术实际上在很早以前就已经被一些漏洞利用工具包所采用。另外,第三个版本还允许攻击者在其着陆页上嵌入一个短网址,但该链接并非用于重定向,而是用于跟踪攻击统计数据。
对于目前的活动而言,Novidade的第二版和第三版都在被使用。
表1.三个Novidade版本的对比
下面的列表展示的是可能受影响的路由器型号(非完整),基于我们对恶意代码、网络流量和已发布的PoC代码的分析。值得注意的是,Netlab 360在今年9月份发表的有关GhostDNS恶意软件的博文中就已经提供了一些受影响的路由器型号。
- Link WL54AP3 / WL54AP2 (CVE-2008-6823)
- D-Link DSL-2740R
- D-Link DIR 905L
- Medialink MWN-WAPR300 (CVE-2015-5996)
- Motorola SBG6580
- Realtron
- Roteador GWR-120
- Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)
- TP-Link TL-WR340G / TL-WR340GD
- TP-Link WR1043ND V1 (CVE-2013-2645)
回顾Novidade活动
研究人员表示,他们发现了一些使用Novidade来攻击路由器的活动。其中大多数针对的都是巴西用户,通过恶意攻击来窃取银行信息。通过嵌入在Novidade中用来跟踪攻击统计数据的短网址,研究人员发现,自3月份以来最大的一起活动已经投递该漏洞工具包2400万次。在9月份和10月份,研究人员还发现了另外两起利用不同渠道来投递Novidade的活动。
9月份的活动利用了即时通讯软件,以有关2018巴西总统大选的消息作为诱饵。恶意页面看上去很像是一份普通的调查问卷,但实际上被注入了Novidade。这起攻击被证明是十分狡猾的,在受害者填写调查问卷的同时,Novidade也在攻击受害者的路由器。并且,受害者还被要求通过即时通讯软件将调查结果分享给30个人。
一旦路由器被攻破,DNS服务器将被篡改为144[.]217[.]24[.]233。不幸的是,研究人员表示他们无法确定域欺骗攻击中的目标域名,因为在他们想要对恶意DNS服务器进行分析的时候,它已经被关闭了。
图4.虚假调查问卷页面
另一起活动开始于2018年10月下旬,在当时有多个遭入侵的网站被注入了一个能够将访问者重定向到Novidade的iframe。另外,这起活动并像以前一样仅局限于巴西,同样的注入也发生在其他一些国家/地区的网站上。受感染路由器的DNS设置被篡改为了恶意DNS服务器108[.]174[.]198[.][177]。每当受害者访问“google.com”时,它都会将其解析为托管网络钓鱼网站的IP地址(107[.]155[.]132[.]183)。受害者只会看到一个社会工程页面,要求他们下载并安装某款软件。由于下载链接已经不再可用,因此研究人员无法验证软件的性质。但它很可能是一个恶意软件或潜在的不受欢迎的应用程序,因为有大量类似的案例被报道过。
图6.虚假软件下载页面
建议和最佳实践
为了防御类似于Novidade这样的漏洞利用工具包,趋势科技的研究人员建议我们应该始终将自己设备的固件升级至最新版本。对于网关而言,默认用户名和密码是潜在的安全隐患。因此,为所有用户帐户设置强密码十分重要。另外,研究人员还建议我们应该及时更改路由器的默认IP地址,以及禁用远程访问功能,从而在最大程度上降低攻击者劫持设备的可能性。最后,我们还被建议应始终使用安全Web连接(HTTPS)来访问敏感网站,以避免遭受域欺骗攻击的侵害。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
