vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Вредоносная реклама атакует роутеры 2

Дата публикации: 21.12.2016
Количество просмотров: 1875

Специалисты обнаружили новую тенденцию в области распространения вредоносной рекламы. Злоумышленники выбрали для распространения вредного контента другую цель - теперь атакам подвергаются не браузеры пользователей, а их роутеры, пишет Xakep.ru. Используя такой метод хакерам удается внедрить рекламу в каждую страницу. Причем, под прицел попадают лишь пользователи Chrome.

Схема действия злоумышленников следующая: на сайтах покупаются места для размещения рекламы, для чего используют известные рекламные сети. В эти объявления встраивается вредоносный JavaScript-код, который использует WebRTC-запрос к Mozilla STUN-серверу, чтобы узнать локальный IP-адрес жертвы. Благодаря этой информации вирус узнаёт, используется ли на сети жертвы роутер, если ответ положительный, то атака продолжается. Если роутера на сети нет, то можно считать, что атаки удалось избежать.

С помощью заражённых рекламных объявлений, на роутер посылается изображение содержащее AES-ключ, который используется для дешифровки трафика, поступающего пользователю с эксплоит кита DNSChanger. Таким способом незаконные операции удается скрыть от специалистов по информационной безопасности. После получения AES-ключа, злоумышленники получают контроль над роутером и встраивают собственные рекламные объявления, подменяя на сайтах легитимную рекламу.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/30769/vredonosnaya-reklama-atakuet-routeryi.html

Комментарии:(2) комментировать

22 декабря 2016 - 12:19
Robot_NagNews:
#1

Материал:
Специалисты обнаружили новую тенденцию в области распространения вредоносной рекламы. Злоумышленники выбрали для распространения вредного контента другую цель.

Полный текст


22 декабря 2016 - 12:19
sfstudio:
#2

Цитата

С помощью заражённых рекламных объявлений, на роутер посылается изображение содержащее AES-ключ, который используется для дешифровки трафика, поступающего пользователю с эксплоит кита DNSChanger. Таким способом незаконные операции удается скрыть от специалистов по информационной безопасности. После получения AES-ключа, злоумышленники получают контроль над роутером и встраивают собственные рекламные объявления, подменяя на сайтах легитимную рекламу.



Полный бред. Чего роутер с этими картинками которые ему отправляются делать должен? Хацкер не осилил нормально перевести, остальные растирожировали не вдумываясь. А ведь должен был возникнуть этот простой вопрос.

На самом деле вся эта изобретательность с картинками к роутеру отношения не имеет, оно надо ради того что бы тихонько обменяться ключиками и поднять соединение шифрованное с каким-то внешним "ресурсом" кулхацкеров для передачи базы типовых уязвимостей широко распространённых роутеров с известными дырами или тупо дефолтовыми паролями.

Цитата

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.



Ну а дальше если эксплоит подошёл и роутер удалось поиметь (либо реальная дыра, либо тупо типовые учётные записи ибо юзверь же думает, что если с WAN не разрешено то и скомпроментировать низя, зачем менять пароли) то дальше тупо подмена DNS уже в настройках роутера и редирект таким образом всего трафика на сервера кулхацкеров, а там хоть рекламу пихай, хоть данные вымораживай.

Вывод - меняйте пароли на вход в рожу/ssh/telnet в домороутере на сложные даже если эти сервисны недоступны с WAN, т.е. "взлом" роутера осуществляется со стороны LAN с уже заражённого ПК юзера.


22 декабря 2016 - 12:33
sfstudio:
#3

Смысл атаки:
1) компроментируем ОС юзверя используюя известные уязвимости (привет виндец) или играя на недалёкости юзверя вынуждаем его запустить червячка
2) червячок используя графику для скрытия ключиков от "умных" фаерволов встроенных в антивирусы обменивается ключиками с внешним ресурсом
3) используя эти ключи поднимается шифрованное соединение с БД типовых уязвимостей роутеров и словарём реквизитов
4) детектиться модель роутера и/или перебираются все реквизиты
5) т.к. это делается уже со стороны user PC то доступ к телнет/ssh/web на роутере наверняка открыт и зачастую вообще с дефолтными паролями то получаем доступ
6) используя штатные средства меняем DNS и/или настраиваем нетфильтр в роутере (или используем другой метод) для редиректа юзверя на сервер докидывающий рекламу/делающий что-то ещё

Т.е. даже если со стороны WAN роутера не видно, то почти 100% из-за лени юзверя или дырявости фирмвари его можно поиметь изнутри, что собсно и делается. Но первым в цепочке всегда будет или недалёкий юзверь или его дырявая ось, а уж затем роутер настроенный этим юзверем и выпущенный раздолбаями.


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться