您现在的位置是: 首页 > 动态 >

正在进行的DNS劫持针对Gmail Netflix银行等

  • 2020-04-07 17:45:48

Ixia的首席安全研究员Stefan Tanase告诉Ars,这篇文章中描述的DNS服务器已经被取下,攻击者已经用新的DNS服务器取代了它们。Ixia分析了这个流氓DNS服务器,发现它的目标是以下域名:GMail.com、PayPal.com、Netflix.com、Uber.com、caix.gov.br、itau.com.br、bb.com.br、bancobrasil.com.br、sandander.com.br、pagseguro.uol.com.br、sandandernet.com.br、cetelem.com.br,以及其他可能的网站。试图从受感染的路由器访问这些域的人将被连接到一个服务器,该服务器通过纯HTTP提供钓鱼页面。

下面是cetelem.com.br是如何在配置为使用恶意DNS服务器的计算机上出现在Firefox中的。

上周五下午,谷歌的一名代表通过电子邮件发送了如下声明:

我们已暂停有关的欺诈帐户,并正透过既定的协议,找出任何新出现的欺诈帐户。我们有适当的程序来检测和删除违反我们的服务条款和可接受的使用政策的帐户,当我们检测到滥用时,我们会对帐户采取行动,包括暂停有问题的帐户。这些事件突出了实践良好的安全卫生的重要性,包括在修复可用时修补路由器固件。

以下是这篇文章,因为它出现在周四,2019年4月4日,下午2:59:

一名安全研究人员警告称,一波滥用谷歌云计算服务的DNS劫持攻击正在导致消费者路由器连接到欺诈和潜在恶意的网站和地址。

到目前为止,大多数人都知道域名系统服务器将人类友好的域名转换成计算机在Internet上查找其他计算机所需的数字IP地址。周四发表的一篇博客文章说,在过去四个月里,攻击者一直在使用谷歌云服务扫描互联网上易受远程攻击攻击的路由器。当攻击者发现易受攻击的路由器时,他们会使用谷歌平台发送恶意代码,将路由器配置为使用恶意DNS服务器。

周四发表《华盛顿邮报》的独立安全研究员特洛伊·默希(Troy Mursch)表示,第一波攻击发生在去年12月下旬。该运动利用了四种D-Link路由器的漏洞,包括:

这些漏洞让攻击者得以控制那些没有打补丁的路由器。然后攻击者将使用他们的控制来重新配置路由器,以使用主机OVH提供的一个IP地址66.70.173.48的DNS服务器。

2月初的第二波攻击针对的是同样的D-Link路由器,但这一次攻击导致它们使用了一个不同的OVH IP地址,即一个流氓DNS服务器,地址是144.217.191.145。根据Twitter用户parseword的说法,大多数DNS请求随后被重定向到两个ip,一个分配给一个犯罪友好的主机提供商(AS206349),另一个指向一个利用停放域名牟利的服务(AS395082)。

第三次也是最后一次已知的海啸发生在上周。它来自三种不同的谷歌云平台主机,并针对额外的消费者路由器模型,包括argw4 ADSL、DSLink 260E,以及来自Secutech和TOTOLINK的那些。最新一轮使用的流氓DNS服务器195.128.126.165和195.128.124.131均由Inoventica Services在俄罗斯托管,互联网接入由其子公司Garant-Park-Internet Limited (AS47196)提供。

Mursch告诉Ars,写这篇文章的时候,最后一批流氓DNS服务器还在运行。他补充说,前几次的DNS服务器已不再运行。虽然这些攻击滥用了来自各种提供商的服务,但Mursch说谷歌的云服务脱颖而出。

“它不是要成为谷歌的热门文章,”研究人员在周四的帖子中说。“但滥用他们的平台实在是太微不足道了。你注册了一个账户,然后就成功了。真的很简单。”他说,谷歌将最终终止服务,一旦该公司收到报告的滥用,但它往往需要时间和努力,才会发生。Ars询问了谷歌的代表对此发表评论,如果他们有回应,将会更新这篇文章。

防止此类攻击的最佳方法是确保路由器运行最新固件。受到攻击的所有四个D-Link漏洞在多年前就已经修复,但许多人从未经历过手动安装补丁的麻烦。定期检查路由器配置以确保DNS设置正确也是一个好主意。Cloudflare的免费DNS服务1.1.1.1是一个不错的选择。将每个设备的操作系统配置为使用诸如1.1.1.1这样的DNS服务器从来都不是一个坏主意,但是Mursch警告说,有时对被黑路由器所做的恶意更改可能会覆盖那些OS配置。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。
Top