GhostDNS恶意软件已感染超过十万台家用路由器设备

  • A+
所属分类:网络安全新闻

GhostDNS,这是一种恶意软件,已经感染了超过100K +的设备,并针对70多种不同类型的路由器
攻击者已经劫持了超过100,000个家庭路由器,恶意代码允许修改DNS设置以劫持流量并将用户重定向到钓鱼网站。

GhostDNS恶意软件已感染超过十万台家用路由器设备

9月21日至27日期间,GhostDNS活动已经破坏了超过100,000台路由器,其中大多数(87.8%)位于巴西。

GhostDNS让我们想起臭名昭着的 DNSChanger恶意软件,它成为改变受感染设备DNS设置的头条新闻

GhostDNS扫描使用弱密码或无密码的路由器使用的IP地址然后访问它们并将DNS设置更改为攻击者操作的流氓DNS服务器。

就像普通的 dnschanger一样,此广告系列会尝试在路由器的网络身份验证页面上猜测密码,或者通过 dnscfg 绕过身份验证。cgi exploit,然后通过相应的DNS配置界面将路由器的默认DNS地址更改为Rogue DNS服务器[ 3]。读取专家发布的分析。

但是这个活动有更多,我们已经找到了三个相关的DNSChanger程序,我们称之为Shell DNSChanger,Js DNSChanger和PyPhp DNSChanger根据他们的编程语言。

GhostDNS具有由四个组件组成的模块化结构:

1)DNSChanger模块: 主要模块旨在利用目标路由器,它有三个子模块,Shell DNSChanger,Js DNSChanger和PyPhp DNSChanger。

1.)Shell DNSChanger是用Shell编程语言编写的,它结合了25个Shell脚本,允许恶意软件对来自21个不同制造商的路由器或固件包进行暴力攻击。
2.)Js DNSChanger是用JavaScript编写的,包括10个旨在感染6个路由器或固件包的攻击脚本。它包括扫描仪,有效负载生成器和攻击程序。Js DNSChanger程序通常被注入钓鱼网站,因此它与网络钓鱼网络系统一起工作。
3.)PyPhp DNSChanger是用Python和PHP编写的,它包含69个攻击脚本,旨在针对47种不同的路由器/固件。该组件已被发现部署在100多台服务器上,其中大部分位于Google Cloud上,它包括Web API,扫描仪和攻击模块等功能。专家认为,这个子模块是DNSChanger的核心模块,允许攻击者扫描互联网以查找易受攻击的路由器。
2)Web Admin模块: 专家认为它为使用登录页面保护的攻击者实施了一个管理面板。

3)Rogue DNS模块: 该模块从攻击者控制的Web服务器中解析目标域名。在调查时,专家无法访问Rouge DNS服务器,因此,无法知道用于劫持合法域的DNS条目的确切数量。

4)网络钓鱼Web模块: 该模块为此广告系列中定位的域实施网络钓鱼页面。

攻击者似乎专注于主要针对主要银行的巴西。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!