[Robot_NagNews]

Материал:

Специалисты обнаружили новую тенденцию в области распространения вредоносной рекламы. Злоумышленники выбрали для распространения вредного контента другую цель.

 

Полный текст

[sfstudio]

С помощью заражённых рекламных объявлений, на роутер посылается изображение содержащее AES-ключ, который используется для дешифровки трафика, поступающего пользователю с эксплоит кита DNSChanger. Таким способом незаконные операции удается скрыть от специалистов по информационной безопасности. После получения AES-ключа, злоумышленники получают контроль над роутером и встраивают собственные рекламные объявления, подменяя на сайтах легитимную рекламу.

 

Полный бред. Чего роутер с этими картинками которые ему отправляются делать должен? Хацкер не осилил нормально перевести, остальные растирожировали не вдумываясь. А ведь должен был возникнуть этот простой вопрос.

 

На самом деле вся эта изобретательность с картинками к роутеру отношения не имеет, оно надо ради того что бы тихонько обменяться ключиками и поднять соединение шифрованное с каким-то внешним "ресурсом" кулхацкеров для передачи базы типовых уязвимостей широко распространённых роутеров с известными дырами или тупо дефолтовыми паролями.

 

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

 

Ну а дальше если эксплоит подошёл и роутер удалось поиметь (либо реальная дыра, либо тупо типовые учётные записи ибо юзверь же думает, что если с WAN не разрешено то и скомпроментировать низя, зачем менять пароли) то дальше тупо подмена DNS уже в настройках роутера и редирект таким образом всего трафика на сервера кулхацкеров, а там хоть рекламу пихай, хоть данные вымораживай.

 

Вывод - меняйте пароли на вход в рожу/ssh/telnet в домороутере на сложные даже если эти сервисны недоступны с WAN, т.е. "взлом" роутера осуществляется со стороны LAN с уже заражённого ПК юзера.

[sfstudio]

Смысл атаки:

1) компроментируем ОС юзверя используюя известные уязвимости (привет виндец) или играя на недалёкости юзверя вынуждаем его запустить червячка

2) червячок используя графику для скрытия ключиков от "умных" фаерволов встроенных в антивирусы обменивается ключиками с внешним ресурсом

3) используя эти ключи поднимается шифрованное соединение с БД типовых уязвимостей роутеров и словарём реквизитов

4) детектиться модель роутера и/или перебираются все реквизиты

5) т.к. это делается уже со стороны user PC то доступ к телнет/ssh/web на роутере наверняка открыт и зачастую вообще с дефолтными паролями то получаем доступ

6) используя штатные средства меняем DNS и/или настраиваем нетфильтр в роутере (или используем другой метод) для редиректа юзверя на сервер докидывающий рекламу/делающий что-то ещё

 

Т.е. даже если со стороны WAN роутера не видно, то почти 100% из-за лени юзверя или дырявости фирмвари его можно поиметь изнутри, что собсно и делается. Но первым в цепочке всегда будет или недалёкий юзверь или его дырявая ось, а уж затем роутер настроенный этим юзверем и выпущенный раздолбаями.