Обнаружен хакерский веб-инструмент для подмены адресов DNS в маршрутизаторе жертвы

29.05.2015 | 11:33
Французский исследователь Kafeine обнаружил эксплойт-пак, предназначенный для определения типа маршрутизатора жертвы и смены настроек DNS. В дальнейшем жертва перенаправляется на посадочные страницы, загружающие на ее компьютер вредоносное ПО с применением различных уязвимостей.

Kafeine опубликовал исследование, в котором описал историю обнаружения нового хакерского инструмента. «В апреле, изучая страницу перенаправления, связанную с некоей деятельностью Sweet Orange, я зашел на TDS (Traffic Direction System, система направления трафика), который почему-то не соответствовал обычному критерию наличия побочной загрузки (US, EU, JP,.. Intenet Explorer, Firefox…), — написал исследователь. — Я попытался зайти с Android, но также не получил результата. Подключаясь через Chrome, я ожидал загрузки вымогателя Browlock, но вместо этого я получил нечто похожее на CSRF (кросс-сайтовую подделку запроса) Soho Pharming (атаку смены настроек DNS в маршрутизаторе)».

Исследователь проследил за развитием обнаруженного эксплойт-кита. Спустя несколько дней его код значительно усложнился, появилась обфускация, расширился список эксплойтов и опознаваемых маршрутизаторов. Некоторые используемые эксплойты были относительно свежими, некоторые — давно известными. «Отметьте, что прошивки маршрутизаторов не обновляются автоматически, так что если мы редко видим эксплойты более чем трехлетней давности в браузерных эксплойт-паках, то для роутеров они все еще могут быть полезны», — написал Kafeine.

Получив доступ к настройкам роутера, эксплойт-пак подменяет первичный DNS-сервер на вредоносный, а вторичный — на DNS Google, чтобы не вызвать подозрений у жертвы, если с DNS-сервером хакеров что-нибудь случится. Посредством этого жертва незаметно направляется на сервер, который может, к примеру, содержать браузерные эксплойт-киты.

В своем исследовании Kafeine приводит список поддерживаемых экcплойт-паком маршрутизаторов:

ASUS AC68U
ASUS RTN56U & ASUS RTN10P & ASUS-RTN66U & ASUS-RT56-66-10-12
ASUS-RTG32
BELK-PHILIPS (?)
BELKIN F5D7230-4
BELKIN F5D8236-4V2
BELKIN F9k1105V2
BELKIN-F5D7231-4
BELKIN-F5D7234-4
D’LINK DIR-600
D’LINK DIR-604
D’LINK DIR-645
D’LINK DIR-810L & DIR-826L & DIR-615 & DIR-651 & DIR-601 & WBR1310 & D2760
D’LINK DSLG604T
D’LINK-DIR-2740R
EDIMAX BR6208AC
LINKSYS BEFW11S4 V4
LINKSYS L120
LINKSYS WRT54GSV7
LINKSYS-BEFW11S4 V4
LINKSYS-LWRT54GLV4
LINKSYS-WRT54GV8
LINKSYS-X3000
LINSYS L000
Medialink WAPR300N
Microsoft MN-500
NETGEAR DGN1000B & DG834v3 & DGN2200
NETGEAR WNDR3400
NETGEAR-DGN1000 & NETGEAR-DGN2200
NETGEAR-WNR834Bv2
NETGEAR-WPN824v3
NETIS WF2414
Netis WF2414
TENDA 11N
TPLI ALL
TPLI-WR940N & WR941ND & WR700
Trendnet E300-150
TRIP-TM01
TRIP-TM04
Trendnet TW100S4W1CA
ZYXEL MVR102
ZYXEL NBG416
ZYXEL-NBG334W
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код