tip dan tutorial

Malware GhostDNS pada penghala boleh mencuri data perbankan pengguna

Pakar mendapati GhostDNS, sebuah sistem rampasan DNS yang canggih untuk kecurian data, menjejaskan lebih daripada 100, 000 penghantar - 87 peratus daripada mereka di Brazil. Menurut Netlab, sebuah syarikat yang mengkhususkan diri dalam keselamatan maklumat, malware telah ditemui dalam 70 model lain, termasuk jenama seperti TP-Link, D-Link, Intelbras, Multilaser dan Huawei, antara lain.

Dengan menggunakan kaedah phishing, matlamat akhir serangan adalah untuk menemui bukti kelayakan tapak penting, seperti bank dan penyedia besar. Netlab pada 360 rekod, yang menemui penipuan, URL Brazil Netflix, Santander dan Citibank adalah sebahagian daripada mereka yang diserang oleh GhostDNS. Seterusnya, pelajari mengenai malware dan pelajari cara melindungi diri anda.

BACA: Mogok dalam penghala sudah sampai ribuan rumah di Brazil; elakkan

GhostDNS malware menyembunyikan lebih daripada 100, 000 penghala dan boleh mencuri data bank

Mahu membeli telefon bimbit, TV dan produk diskaun lain? Ketahui Bandingkan

Apakah serangan itu?

Malware yang dilaporkan oleh Netlab pada 360 melakukan serangan yang dikenali sebagai DNSchange. Umumnya, penipuan ini cuba meneka kata laluan penghala pada halaman konfigurasi web menggunakan ID yang ditetapkan secara lalai oleh pengilang seperti admin / admin, root / root, dll. Cara lain ialah melangkau pengesahan dengan mengimbas dnscfg.cgi. Dengan akses ke tetapan penghala, malware mengubah alamat DNS lalai - yang menerjemahkan URL dari tapak yang dikehendaki, seperti bank - ke IP tapak berniat jahat.

GhostDNS adalah versi taktik yang lebih baik. Ia mempunyai tiga versi DNSChanger, yang dipanggil dalam shell itu sendiri DNSChanger, DNSChanger, dan PyPhp DNSChanger. PyPhp DNSChanger adalah modul utama di antara ketiga-tiga, yang telah digunakan pada lebih dari 100 pelayan, kebanyakannya Google Cloud. Bersama-sama, mereka mengumpulkan lebih dari 100 skrip serangan, yang bertujuan untuk penghala di Internet dan rangkaian intranet.

Seolah-olah itu tidak mencukupi, masih terdapat tiga modul struktur lain dalam GhostDNS, selain DNSChanger. Yang pertama adalah pelayan Rouge DNS, yang merampas domain bank, perkhidmatan awan, dan laman web lain yang mempunyai kelayakan yang menarik untuk penjenayah. Yang kedua adalah sistem phishing web, yang mengambil alamat IP dari domain yang dicuri dan berinteraksi dengan mangsa melalui tapak palsu. Akhir sekali, terdapat sistem pentadbiran web, yang mana para pakar masih belum mempunyai maklumat mengenai operasi ini.

Gerakan carta serangan GhostDNS ke router

Risiko serangan itu

Risiko besar serangan itu ialah dengan perampasan DNS, walaupun anda memasukkan URL yang betul dari bank anda dalam penyemak imbas, ia dapat mengarahkan ke IP dari suatu laman web yang berniat jahat. Jadi, walaupun pengguna mengenal pasti perubahan pada antara muka halaman, dia akan percaya bahawa dia berada dalam persekitaran yang selamat. Ini meningkatkan peluang menaip dalam kata laluan bank, e-mel, perkhidmatan penyimpanan awan, dan bukti lain yang boleh digunakan oleh penjenayah siber.

Peranti mana yang telah terjejas?

Dalam tempoh dari 21 hingga 27 September, Netlab pada 360 mendapati lebih dari 100, 000 alamat IP router yang dijangkiti. Daripada jumlah ini, 87.8% - atau kira-kira 87, 800 - berada di Brazil. Walau bagaimanapun, disebabkan variasi alamat, bilangan sebenar mungkin sedikit berbeza.

Kaunter Router Terjejas GhostDNS

Rangkaian yang terjejas telah dijangkiti oleh modul DNSChanger yang berbeza. Dalam Shell DNSChanger, model berikut telah dikenalpasti:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Penghala Kaiomy
  • Pengendali MikroTiK
  • OIWTECH OIW-2415CPE
  • Ralink Routers
  • SpeedStream
  • SpeedTouch
  • Khemah
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Sudahkah router yang terkena DNSChanger Js adalah:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • GWR-120 Router
  • Secutech RiS Firmware
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND

Akhir sekali, peranti yang dipengaruhi oleh modul utama, PyPhp DNSChanger, adalah yang berikut:

  • AirRouter AirOS
  • Antena PQWS2401
  • Penghala C3-TECH
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • PNRT150M Router
  • Router N 300Mbps Wireless
  • WRN150 Router
  • WRN342 Router
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Router Broadband Tenda Wireless-N
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Router firmware Wive-NG
  • ZXHN H208N
  • Zyxel VMG3312

Bagaimana untuk melindungi diri anda

Langkah pertama ialah menukar kata laluan penghala, terutamanya jika anda menggunakan kod lalai atau mengguna kata laluan yang lemah. Ia juga disyorkan bahawa anda mengemas kini firmware penghala dan periksa tetapan jika DNS telah berubah.

Bagaimana untuk menetapkan kata laluan penghala Wi-Fi anda

Apa yang dikatakan pengeluar

Syarikat itu menghubungi Intelbras, yang tidak menyedari masalah dengan routernya: "Kami dengan ini memberitahu anda bahawa kami setakat ini tiada kes kecederaan terdaftar kepada pengguna kami melalui 14 saluran perkhidmatan kami yang sepadan dengan kelemahan router Intelbras." Mengenai keselamatan, syarikat itu mengarahkan pengguna untuk bersaing dengan kemas kini rutin peralatan: "kawalan dan ketersediaan firmware terkini boleh didapati di laman web kami (www.intelbras.com.br/downloads)".

Multilaser juga mendakwa tidak ada masalah yang dilaporkan setakat ini. "Tidak ada hubungan pelanggan melalui saluran perkhidmatan yang boleh disambungkan ke acara itu. Multilaser menasihatkan pengguna untuk menghubungi sokongan untuk maklumat lanjut tentang kemas kini dan konfigurasi peranti jenama."

D-Link melaporkan bahawa kelemahan telah dilaporkan. Menurut kenyataan yang dihantar kepada, syarikat itu menyediakan penyelesaian kepada pengguna routernya. "D-Link mengulangi kepentingan sentiasa mengemas kini firmware router oleh pengguna, yang meningkatkan keselamatan peralatan dan sambungan, " tambahnya.

Tuntutan TP-Link menyedari masalah dan mengesyorkan bahawa pengguna menyimpan firmware terkini dan menukar kata laluan untuk peranti mereka. TP-Link menyedari penyelidikan mengenai kelemahan routernya sebagai satu cara untuk mencegah malware yang mungkin ini, TP-Link mengesyorkan mengikuti langkah-langkah berikut:

  • Tukar kata laluan lalai ke kata laluan yang lebih kompleks untuk menghalang penceroboh daripada mengakses tetapan penghala;
  • Pastikan penghala anda menggunakan versi firmware terkini. Jika tidak, tingkatkan untuk mengelakkan kelemahan yang lebih tua daripada dieksploitasi. "

Huawei tidak mengulas sehingga isu ini diterbitkan.

Via Netlab pada 360

Apakah saluran penghala Wi-Fi terbaik? Cari dalam Forum.

Disyorkan

Thomson Router: Mengunci orang yang disambungkan ke rangkaian Wi-Fi anda
tip dan tutorial

Thomson Router: Mengunci orang yang disambungkan ke rangkaian Wi-Fi anda

Bagaimana untuk membersihkan sejarah carian YouTube
bagaimana

Bagaimana untuk membersihkan sejarah carian YouTube

Cara menggunakan Vakinha untuk mengumpul wang secara dalam talian
bagaimana

Cara menggunakan Vakinha untuk mengumpul wang secara dalam talian

Disyorkan