路由器攻击工具包：巴西的 RouterCSRF 攻击和 DNS 劫持概述

• 2025-01-24 15:37:13

简介

路由器漏洞利用工具包在巴西并不新鲜；2018年秋季，Netlab360发现了一款名为GhostDNS的路由器漏洞利用工具包，显示出超过10万台受感染的SOHO路由器。 今年，Novidade和GhostDNS的其他变种也非常活跃，Avast在2019年4月检测到了一种新的漏洞利用工具包SonarDNS。

从2019年2月1日至3月30日，Avast的网络保护程序在巴西阻止了超过460万次跨站请求伪造CSRF网络攻击，试图默默修改路由器的DNS设置。

在CSRF攻击成功的情况下，路由器会被重新配置为使用恶意DNS服务器，这些服务器会将受害者重定向到钓鱼页面，当受害者访问银行网站或Netflix时，会窃取他们的登录凭据或信用卡信息。另一个攻击可能是安装加密货币挖掘脚本，或向受害者推出恶意广告。通过Avast WiFi检查器功能，已发现18万名来自巴西的Avast用户在2019年上半年被劫持了DNS。

RouterCSRF活动

RouterCSRF活动通常通过malvertising活动在popcash[]net、dolohen[]com、rotumal[]com、bodelen[]com等广告轮换网站分发，并呈波动性出现。攻击通常始于用户访问受损网站，通常是本地巴西色情网站或提供电影或体育直播的网站。当用户访问受损站点时，受害者会在不知情的情况下被重定向到路由器漏洞利用工具包的着陆页，通常是在新的窗口或标签页中打开，自动启动针对路由器的攻击，而无需用户的互动。

以下图表显示Avast Web Shield从2019年2月1日至5月30日阻止的RouterCSRF攻击波动：

X 被阻止的RouterCSRF感染尝试，Y 2019年2月至6月的数据

一般来说，漏洞利用工具包会尝试查找网络中的路由器IP，然后尝试使用各种登录凭据猜测密码。以下是使用频率最高的登录凭据列表用户名：密码：

adminadminadminadmin12345Admin123456admingvt12345adminpasswordadminvivo12345rootrootsupersuper

例如，密码“gvt12345”表明黑客针对的是前巴西互联网服务提供商ISPGVT的用户，该公司已被Telenica Brasil收购，后者是该国最大的电信公司。“vivo12345”则用于Vivo ISP分发的路由器，Vivo也是Telefnica Brasil的品牌。

一旦黑客成功登录路由器，漏洞利用工具包会尝试使用各种CSRF请求更改路由器的DNS设置，主要针对以下路由器型号：

TPLink TLWR340G TPLink WR1043ND DLink DSL2740RDLink DIR 905LALink WL54AP3 / WL54AP2 Medialink MWNWAPR300 Motorola SBG6580RealtronGWR120Secutech RiS11/RiS22/RiS33

GhostDNS漏洞利用工具包

GhostDNS漏洞利用工具包在巴西地下黑客圈中非常流行，其中一些变种在2019年针对巴西路由器的活动中最为活跃。GhostDNS变种Novidade在2月份尝试感染Avast用户的路由器超过260万次，并通过三个活动传播。根据Netlab360的说法，GhostDNS由一个复杂的系统组成，包含钓鱼网页系统、网络管理系统和恶意DNS系统。

GhostDNS背后的威胁行为者通过公共大规模扫描来扫描路由器的IP地址，从而试图提高他们的攻击成功率。此前@badpackets的蜜罐检测到的同样的恶意DNS服务器195[]128124[]131和195128126[]165也在今年的其他GhostDNS活动中被发现。

我们在2019年5月5日的一次活动中发现了一种新的GhostDNS着陆页变种，试图通过伪造的Google Chrome更新来欺骗用户。迄今为止，我们保护Avast用户免受GhostDNS攻击达7万次。

截图：2019年5月5日发现的伪造Google Chrome更新的GhostDNS着陆页新变种

当攻击者试图说服用户，他们的Chrome浏览器正在更新时，后台执行一个恶意脚本。该脚本的负载显示了使用iframes、一个默认路由器IP地址列表以及一些DNSchanger恶意软件的功能。

一般来说，脚本的功能是通过一种巧妙的方法对所有IP进行测试，该方法使用图像声明。图像声明意味着某个特定IP被声明为图像的来源。然而，在这种情况下，攻击者实际上使用此方法来确定IP是否属于路由器，并访问路由器的登录页面。这样，他们可以一次访问多个IP，这通常会被跨源资源共享CORS所禁止，CORS是一种机制，使用附加的HTTP头部来告知浏览器允许一个源域的Web应用访问来自不同源的选定资源。然而，通过使用上述图像声明，这一机制得以绕过，尤其是在较老的浏览器中更为宽容。通过这种技术，攻击者最终识别出IP地址下的路由器，然后在iframe标签的主体之后附加一个隐藏的iframe。这个附加的iframe的内容是另一个脚本，基本上用于改变路由器的DNS设置。

这个过程需要时间，这就是为什么它伪装成Google Chrome浏览器更新的原因。

GhostDNS：攻击链fiddler捕获样本：

SonarDNS漏洞利用工具包

在过去的三个月中，我们发现了三次来自一种新漏洞利用工具包的跳过攻击，该工具包的特征与GhostDNS有所不同。我们在2019年4月17日首次发现该攻击，其来源于一个伪造的巴西新闻网站akibanoticias[]com。我们认为这次攻击仅仅是一次测试，因为攻击者留下了相当大一部分代码没有清理，并在伪装页面中留下了如下内容：

通过在Google上查找fingerprintdbjs和sonarstart，我们发现整个漏洞利用工具包是基于SONAR JS框架构建的。因此，我们将该漏洞利用工具包命名为“SonarDNS EK”：

Sonar JS框架还包含一个指纹数据库，用于识别路由器型号。以下是官方Github描述中的一例，确定ASUS RTN66U的指纹：

伪造新闻网站akibanoticias[]com在2019年5月10日的第二次活动中也被使用。攻击者改善了着陆页，并为位于randomjs中的主功能添加了更多混淆层。

random2js混淆的负载fiddler片段，其负载存储在变量N7o中：

基本上，akibanoticias[]com的源代码经过混淆，存储在一个大的变量中。然后通过许多case状态和循环加载，去混淆并执行该变量。去混淆过程包含许多数组，从这些数组加载代码的部分，并堆叠到多个websocket请求中。

查看去混淆后的websocket请求，我们可以看到尝试连接并更改本地路由器设置的行为。

去混淆后的websocket请求示例：

DNS劫持与后续感染

一般来说，一旦安装了恶意DNS服务器，网络犯罪分子可以通过三种方式获利。第一种方法是通过以钓鱼攻击为中心，窃取信用卡详细信息或Netflix和银行网站的登录凭据。第二种方式是通过窃取网络广告代理的流量，并用恶意广告取而代之，最后，是推送加密货币的JavaScript代码。

钓鱼：

最近遭到钓鱼攻击的网站之一是Netflix。在这种情况下，攻击者准备了一个简单的登录表单，设计非常吸引人。然而，一些错误仍然可以被发现。例如，网页底部的链接无法正常工作，并且缺少域名证书在某些浏览器中非常显眼，尤其是那些通常会非常突出显示证书的浏览器。

源代码非常简短，表明底部链接只是用于显示的，并且仅仅是当鼠标悬停时表现得像链接的格式化项目列表。表单操作包含一个名为“getpayphp”的PHP脚本，这是钓鱼网站的典型特征。

Avast检测到在2019年2月至6月期间，超过18万名活跃的DNS劫持用户在巴西。根据Avast WiFi检查器的遥测数据，巴西最常被劫持的域名主要属于银行事务，但新的受欢迎域似乎是Netflix。

以下是Google公共DNS解析器与恶意DNS解析器尝试解析属于Santander银行网站的IP地址时的比较：

轻蜂加速器下载

以下是具有有效证书的Santander银行官方网站：

而这里是钓鱼版本的网站，没有SSL证书：

恶意广告和加密货币：

流行的网页广告或网页跟踪端点通常嵌入在网页中，不幸的是，它们是DNS劫持的非常方便的目标。以下是春季期间在DNS劫持中检测到的攻击最多的URL列表，指向相同的IP地址188214132[]44：

http//cdnpopcashnet/popjshttp//widgetsoutbraincom/outbrainjshttp//wwwgoogleanalyticscom/gajshttp//cdntaboolacom/TaboolaCookieSyncScriptjshttp//pagead2googlesyndicationcom/pagead/s/cookiepushhtml

为了举例说明恶意广告的工作方式，我们以浏览器请求Outbrain小组件为例，Outbrain推销的第三方文章通常嵌入在网站底部。当用户的网络被DNS劫持时，恶意内容会取代实际的Outbrain内容。下面是请求Outbrain小组件时原始和恶意服务器之间的比较：

去混淆的代码：

去混淆的源代码显示了简单地尝试将HTTPS协议替换为不安全的HTTP协议。这是必要的，因为广告脚本只会在此条件下交付攻击者的特殊广告。

因此，各种特殊广告可能会在攻击者的操控下弹出或附加到网站上，从老式的“你赢了”广告到更严重的浏览器扩展。搜索扩展可以用于分发恶意内容，或将用户重定向到可疑网站。

还有两个额外的脚本被加载并附加到页面。位于tharbadir[]com/2z=2043966的高度混淆脚本提供了大量关于用户计算机的信息，例如已安装的浏览器、计算机的分辨率、可用的引荐来源等等。这些信息使广告商能够定位用户，提供定制化的内容，也使恶意行为者能够提供有效的钓鱼网站、技术支持诈骗、恶意广告和漏洞利用工具包。截图中显示的域名rotumal[]com也是一个众所周知的恶意重定向器，导致潜在不良程序PUP、诈骗和木马。

在攻击的最后部分，攻击者尝试执行一个加密货币挖掘脚本，该脚本旨在挖掘受到网络犯罪者欢迎的Monero加密货币，位于cdnt[]co/smjs。该矿工仅在用户的DNS记录被更改时可访问，并再次将该域解决为IP 188214132[]44。矿工脚本的最后一行显示了攻击者的私人Monero钱包。

检测和建议：

网络保护：

Avast用户通过以下检测签名受到保护：

HTTPRouterCSRFA通过GET更改DNS服务器地址HTTPRouterCSRFB用户密码更改HTTPRouterCSRFC路由器重启HTTPRouterCSRFE通过POST更改DNS服务器地址JSRouterEKA [Trj]检测路由器EK着陆页面JSAgentEHH [Trj]检测恶意广告

Avast WiFi检查器：

如果您认为自己可能感染了路由器漏洞利用工具包，请运行Avast WiFi检查器功能，所有Avast Antivirus消费版本均包括此功能，包括Avast自由杀毒软件。如果您的网络被GhostDNS漏洞利用工具包或SonarDNS漏洞利用工具包感染，系统将显示以下检测，详细信息关于被劫持的域名：

建议和缓解措施：

为了防止DNS劫持攻击，或如果您已经感染，建议采取以下措施：

将路由器的固件更新到最新版本。更改您的登录凭据，尤其是在线银行服务和路由器的登录凭据，使用强密码！确保检查您的银行网站是否有有效证书，通过查看浏览器地址栏中的锁定图标。

指标IoC：

SonarDNS EK Fiddler捕获GhostDNS EK Fiddler捕获

标记为 csrf dns劫持漏洞ghostdns钓鱼路由器sonardns

分享XFacebook