Jump to content
Калькуляторы

Вредоносная реклама атакует роутеры

Материал:

Специалисты обнаружили новую тенденцию в области распространения вредоносной рекламы. Злоумышленники выбрали для распространения вредного контента другую цель.

 

Полный текст

Share this post


Link to post
Share on other sites

С помощью заражённых рекламных объявлений, на роутер посылается изображение содержащее AES-ключ, который используется для дешифровки трафика, поступающего пользователю с эксплоит кита DNSChanger. Таким способом незаконные операции удается скрыть от специалистов по информационной безопасности. После получения AES-ключа, злоумышленники получают контроль над роутером и встраивают собственные рекламные объявления, подменяя на сайтах легитимную рекламу.

 

Полный бред. Чего роутер с этими картинками которые ему отправляются делать должен? Хацкер не осилил нормально перевести, остальные растирожировали не вдумываясь. А ведь должен был возникнуть этот простой вопрос.

 

На самом деле вся эта изобретательность с картинками к роутеру отношения не имеет, оно надо ради того что бы тихонько обменяться ключиками и поднять соединение шифрованное с каким-то внешним "ресурсом" кулхацкеров для передачи базы типовых уязвимостей широко распространённых роутеров с известными дырами или тупо дефолтовыми паролями.

 

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

 

Ну а дальше если эксплоит подошёл и роутер удалось поиметь (либо реальная дыра, либо тупо типовые учётные записи ибо юзверь же думает, что если с WAN не разрешено то и скомпроментировать низя, зачем менять пароли) то дальше тупо подмена DNS уже в настройках роутера и редирект таким образом всего трафика на сервера кулхацкеров, а там хоть рекламу пихай, хоть данные вымораживай.

 

Вывод - меняйте пароли на вход в рожу/ssh/telnet в домороутере на сложные даже если эти сервисны недоступны с WAN, т.е. "взлом" роутера осуществляется со стороны LAN с уже заражённого ПК юзера.

Share this post


Link to post
Share on other sites

Смысл атаки:

1) компроментируем ОС юзверя используюя известные уязвимости (привет виндец) или играя на недалёкости юзверя вынуждаем его запустить червячка

2) червячок используя графику для скрытия ключиков от "умных" фаерволов встроенных в антивирусы обменивается ключиками с внешним ресурсом

3) используя эти ключи поднимается шифрованное соединение с БД типовых уязвимостей роутеров и словарём реквизитов

4) детектиться модель роутера и/или перебираются все реквизиты

5) т.к. это делается уже со стороны user PC то доступ к телнет/ssh/web на роутере наверняка открыт и зачастую вообще с дефолтными паролями то получаем доступ

6) используя штатные средства меняем DNS и/или настраиваем нетфильтр в роутере (или используем другой метод) для редиректа юзверя на сервер докидывающий рекламу/делающий что-то ещё

 

Т.е. даже если со стороны WAN роутера не видно, то почти 100% из-за лени юзверя или дырявости фирмвари его можно поиметь изнутри, что собсно и делается. Но первым в цепочке всегда будет или недалёкий юзверь или его дырявая ось, а уж затем роутер настроенный этим юзверем и выпущенный раздолбаями.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.