家庭路由器攻击估计要升级了!

信息安全 622 Views

首先得感谢Mac君(老池,公众号:Sagacity-Mac)推荐我的微信公众号,又来了上千高品位读者啦,我表示非常开心!所以今天就写个不开心的话题给你们吧。

—————————-

我可不想危言耸听呀,调查下你家或办公室或宿舍用的是以下哪款路由器:

TP-Link、D-Link、Apple的、华为的、中兴的、Tenda、极路由、小米路由、360的、磊科的、Linksys、Netgear、思科的、其它……

我估计我的读者屌丝居多,用TP-Link、D-Link应该是最多的;)

TP-Link、D-Link在国内确实市场份额最高,所以去年的“数百万网民家庭路由器被劫持事件”主要是针对这些路由器,症状基本是:你上网时,无论是手机还是电脑(连接了TP-Link等无线路由器),会间歇性弹出广告。

这个症状的出现很可能是你的路由器的DNS被黑客劫持了,这会导致:

1. 用这个路由器上网的一批用户都被“劫持”了;2. 上网流量被劫持,意味着上网隐私没了,密码、证书等都可能泄露;3. 返回的页面可能被篡改植入广告、挂马之类的;

(当然出现这样的症状,也可能是某些无良运营商的小动作。)

这个攻击从我们曝光后到现在还在持续,我昨天问了百度兄弟,他说百度大数据显示这类攻击在一直持续,还是很多网站被黑,植入了劫持路由器DNS的恶意代码,一旦用户访问了这些网站,用户所在网络环境中的路由器就有可能被恶意代码感染,并将路由器的DNS篡改劫持,这个过程用户是感知不到的,所以危害很大,百度搜索里针对这类有问题的网站已经做了屏蔽提醒。

DNS劫持事件的威力基本可以媲美曾经疯狂的挂马事件!路由器攻击流行起来了!

——–科普下DNS——–

DNS是啥,看下面这张场景图:

路由器里可以配置DNS,默认就有一个预设的,不用动,用户上网都要经过DNS解析,如果哪天黑客改了这个DNS配置,用户上网的流量都经过黑客服务器,这是一件很可怕的事,就好比你裸奔了。

———科普完毕———

这件事,我不知道我的读者们有多少人知道,你们可以在文章的最后点击“阅读原文”回顾下我去年在知乎上的回答,被知乎推送过好几次。

人那,有个缺陷就是:好了伤疤忘了疼,其实这个DNS劫持事件已经形成了一条产业链,攻击是持续的,我们去年宣传了那么多次并给出了解决方案(请“阅读原文”),很多用户感激万分,不过这几个月又没什么声音了。

这次我不得不说:家庭路由器攻击估计要升级了!

昨天我浏览FreeBuf时注意到一条信息:

波兰计算机应急中心检测到大量家用路由器的DNS配置被修改。黑客对大量网上银行的用户实施了中间人攻击。

我仔细看了原文与相关漏洞细节,发现这次攻击针对了波兰的5家网银,一旦用户的路由器被感染,用户上网银时,会被“SSL Stripping技术”将网银HTTPS重定向到一个伪造的HTTP页面,页面看起来和网银一模一样,只是地址栏有些差异。我可以肯定的是,这点小差异很多用户是注意不到的,于是输入网银账户密码登录时,就被之后的一系列动作给洗钱了……

这次波兰被攻击的路由器使用的是ZyNOS固件,使用这个固件的有如下品牌:

TP-Link、ZTE(中兴)、D-Link、AirLive……

攻击技巧与漏洞我都分析了,实施起来确实简单。redrain昨晚在微博上给了卧槽科普图,理解就行了,不用纠结技术细节:)

关键的是这次的攻击手法,直接拿网银开刀了!国内的地下产业我估计很快会跟上,大家保持警惕,你家的路由器安全吗?你敢轻易上网吗?百度大数据统计每天上万网站被黑,就是植入了这段劫持路由器DNS的恶意代码

解决方案也很简单,大家点击“阅读原文”仔细看我在知乎的回答即可。

我的回答确实有广告,但这广告硬得很!我们辛苦做的解决方案,请支持我们!!!

题图:知道创宇ZoomEye系统(www.zoomeye.org)监控到的D-Link路由器全球后门情况。

—————————-

余弦,黑客,来自知道创宇的懒人。

在微博、知乎、豆瓣、GitHub、我的博客(evilcos.me)等都可以找到“余弦”。

欢迎感兴趣的人收听我这个微信公众号:“lazy-thought”。

如未说明则本站原创,转载请注明出处:NULL » 家庭路由器攻击估计要升级了!