1. Новости
Заметки пользователей
21.12.2016 08:20
PDF
2883
3

Вредоносная реклама атакует роутеры

Специалисты обнаружили новую тенденцию в области распространения вредоносной рекламы. Злоумышленники выбрали для распространения вредного контента другую цель - теперь атакам подвергаются не браузеры пользователей, а их роутеры, пишет Xakep.ru. Используя такой метод хакерам удается внедрить рекламу в каждую страницу. Причем, под прицел попадают лишь пользователи Chrome.

Вредоносная реклама атакует роутеры

Схема действия злоумышленников следующая: на сайтах покупаются места для размещения рекламы, для чего используют известные рекламные сети. В эти объявления встраивается вредоносный JavaScript-код, который использует WebRTC-запрос к Mozilla STUN-серверу, чтобы узнать локальный IP-адрес жертвы. Благодаря этой информации вирус узнаёт, используется ли на сети жертвы роутер, если ответ положительный, то атака продолжается. Если роутера на сети нет, то можно считать, что атаки удалось избежать.

С помощью заражённых рекламных объявлений, на роутер посылается изображение содержащее AES-ключ, который используется для дешифровки трафика, поступающего пользователю с эксплоит кита DNSChanger. Таким способом незаконные операции удается скрыть от специалистов по информационной безопасности. После получения AES-ключа, злоумышленники получают контроль над роутером и встраивают собственные рекламные объявления, подменяя на сайтах легитимную рекламу.

3 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews

Материал:

Специалисты обнаружили новую тенденцию в области распространения вредоносной рекламы. Злоумышленники выбрали для распространения вредного контента другую цель.

 

Полный текст

sfstudio
sfstudio
С помощью заражённых рекламных объявлений, на роутер посылается изображение содержащее AES-ключ, который используется для дешифровки трафика, поступающего пользователю с эксплоит кита DNSChanger. Таким способом незаконные операции удается скрыть от специалистов по информационной безопасности. После получения AES-ключа, злоумышленники получают контроль над роутером и встраивают собственные рекламные объявления, подменяя на сайтах легитимную рекламу.

 

Полный бред. Чего роутер с этими картинками которые ему отправляются делать должен? Хацкер не осилил нормально перевести, остальные растирожировали не вдумываясь. А ведь должен был возникнуть этот простой вопрос.

 

На самом деле вся эта изобретательность с картинками к роутеру отношения не имеет, оно надо ради того что бы тихонько обменяться ключиками и поднять соединение шифрованное с каким-то внешним "ресурсом" кулхацкеров для передачи базы типовых уязвимостей широко распространённых роутеров с известными дырами или тупо дефолтовыми паролями.

 

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

 

Ну а дальше если эксплоит подошёл и роутер удалось поиметь (либо реальная дыра, либо тупо типовые учётные записи ибо юзверь же думает, что если с WAN не разрешено то и скомпроментировать низя, зачем менять пароли) то дальше тупо подмена DNS уже в настройках роутера и редирект таким образом всего трафика на сервера кулхацкеров, а там хоть рекламу пихай, хоть данные вымораживай.

 

Вывод - меняйте пароли на вход в рожу/ssh/telnet в домороутере на сложные даже если эти сервисны недоступны с WAN, т.е. "взлом" роутера осуществляется со стороны LAN с уже заражённого ПК юзера.

sfstudio
sfstudio

Смысл атаки:

1) компроментируем ОС юзверя используюя известные уязвимости (привет виндец) или играя на недалёкости юзверя вынуждаем его запустить червячка

2) червячок используя графику для скрытия ключиков от "умных" фаерволов встроенных в антивирусы обменивается ключиками с внешним ресурсом

3) используя эти ключи поднимается шифрованное соединение с БД типовых уязвимостей роутеров и словарём реквизитов

4) детектиться модель роутера и/или перебираются все реквизиты

5) т.к. это делается уже со стороны user PC то доступ к телнет/ssh/web на роутере наверняка открыт и зачастую вообще с дефолтными паролями то получаем доступ

6) используя штатные средства меняем DNS и/или настраиваем нетфильтр в роутере (или используем другой метод) для редиректа юзверя на сервер докидывающий рекламу/делающий что-то ещё

 

Т.е. даже если со стороны WAN роутера не видно, то почти 100% из-за лени юзверя или дырявости фирмвари его можно поиметь изнутри, что собсно и делается. Но первым в цепочке всегда будет или недалёкий юзверь или его дырявая ось, а уж затем роутер настроенный этим юзверем и выпущенный раздолбаями.