Robot_NagNews Posted December 22, 2016 · Report post Материал: Специалисты обнаружили новую тенденцию в области распространения вредоносной рекламы. Злоумышленники выбрали для распространения вредного контента другую цель. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted December 22, 2016 · Report post С помощью заражённых рекламных объявлений, на роутер посылается изображение содержащее AES-ключ, который используется для дешифровки трафика, поступающего пользователю с эксплоит кита DNSChanger. Таким способом незаконные операции удается скрыть от специалистов по информационной безопасности. После получения AES-ключа, злоумышленники получают контроль над роутером и встраивают собственные рекламные объявления, подменяя на сайтах легитимную рекламу. Полный бред. Чего роутер с этими картинками которые ему отправляются делать должен? Хацкер не осилил нормально перевести, остальные растирожировали не вдумываясь. А ведь должен был возникнуть этот простой вопрос. На самом деле вся эта изобретательность с картинками к роутеру отношения не имеет, оно надо ради того что бы тихонько обменяться ключиками и поднять соединение шифрованное с каким-то внешним "ресурсом" кулхацкеров для передачи базы типовых уязвимостей широко распространённых роутеров с известными дырами или тупо дефолтовыми паролями. Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую. Ну а дальше если эксплоит подошёл и роутер удалось поиметь (либо реальная дыра, либо тупо типовые учётные записи ибо юзверь же думает, что если с WAN не разрешено то и скомпроментировать низя, зачем менять пароли) то дальше тупо подмена DNS уже в настройках роутера и редирект таким образом всего трафика на сервера кулхацкеров, а там хоть рекламу пихай, хоть данные вымораживай. Вывод - меняйте пароли на вход в рожу/ssh/telnet в домороутере на сложные даже если эти сервисны недоступны с WAN, т.е. "взлом" роутера осуществляется со стороны LAN с уже заражённого ПК юзера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted December 22, 2016 · Report post Смысл атаки: 1) компроментируем ОС юзверя используюя известные уязвимости (привет виндец) или играя на недалёкости юзверя вынуждаем его запустить червячка 2) червячок используя графику для скрытия ключиков от "умных" фаерволов встроенных в антивирусы обменивается ключиками с внешним ресурсом 3) используя эти ключи поднимается шифрованное соединение с БД типовых уязвимостей роутеров и словарём реквизитов 4) детектиться модель роутера и/или перебираются все реквизиты 5) т.к. это делается уже со стороны user PC то доступ к телнет/ssh/web на роутере наверняка открыт и зачастую вообще с дефолтными паролями то получаем доступ 6) используя штатные средства меняем DNS и/или настраиваем нетфильтр в роутере (или используем другой метод) для редиректа юзверя на сервер докидывающий рекламу/делающий что-то ещё Т.е. даже если со стороны WAN роутера не видно, то почти 100% из-за лени юзверя или дырявости фирмвари его можно поиметь изнутри, что собсно и делается. Но первым в цепочке всегда будет или недалёкий юзверь или его дырявая ось, а уж затем роутер настроенный этим юзверем и выпущенный раздолбаями. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...