RSS Feed
更好更安全的互联网

家用路由器会遭受攻击吗?

2014-01-10

114

家用路由器很悲剧的是:已经被黑产同学们盯上了

路由器如:TP-Link、D-Link、一堆国产的、开源固件打造或改改用的,都存在各类安全问题,比如老外做了个汇总页面,大家可以去围观下:http://routerpwn.com/,还比如ZoomEye团队前段时间绘制出了全球存在D-Link后门的受影响路由分布:http://www.zoomeye.org/lab/dlink(关于D-Link后门的科普图,大家可以看这:http://weibo.com/1652595727/AfFkAegd3?mod=weibotime)。

我们知道一个攻击要风靡,不仅是在“学院”或“实验室”里进行概念验证,一旦工业化就会流行。

今年有个非常重要的趋势:黑产盯上了家庭/公司路由器,通过漏洞技巧去篡改这些路由器的DNS服务器。这意味这:

  • 用这个路由器上网的一批用户都被“劫持”了;
  • 上网流量被劫持,意味着上网隐私没了,密码、证书等都可能泄露;
  • 返回的页面可能被篡改植入广告、挂马之类的;

上周百度搜索上线了一个非常重要的策略,如果发现有网站被植入恶意篡改用户路由DNS的代码时,就会拦截页面,打出提示!据安全联盟的统计发现过万的网站被黑,植入了路由DNS劫持代码,这个数量非常之大。居然我身边的几位同学都来和我说自己被劫持了!我是安全圈的,我的同学根本不是这个圈子,只是普通的网民!这说明路由DNS劫持攻击已经在风靡。

过去一段时间,我们团队就捕获了至少5个变种。这类攻击的模式一般是:

  1. 攻击者黑下一批网站;
  2. 攻击者往这批网站里植入路由DNS劫持代码(各种变形);
  3. 攻击者传播或坐等目标用户访问这批网站;
  4. 用户访问这些网站后,浏览器就会执行“路由DNS劫持代码”;
  5. 用户的家庭/公司路由器如果存在漏洞就会中招;
  6. 用户上网流量被“假DNS服务器”劫持,并出现奇怪的广告等现象;

虽然这次攻击主要针对Tp-Link路由器,不过中招的路由不仅TP-Link!我们捕获的样本还发现其他的,我们特别弄了一个专题:http://zhanzhang.anquan.org/topic/dns_hijacking/。随时更新,欢迎大家围观。
2013/11/18号晚补充:
不好意思,有好些同学问解决方案呢,我可能没说清。解决方案我们已经放到我们的专题里了:
http://zhanzhang.anquan.org/topic/dns_hijacking/
大家请挪步查看,解决方案不仅针对网民还针对站长,解决方案我们本周会持续优化,因为技术上完美还存在一些问题(我们想让解决方案看起来最傻瓜化)。

  • 但是如果你是网民的话,参考我们专题里列的教程去操作,那就没问题了。
  • 而,如果你是站长的话,除了查出自己的网站被黑植入了路由DNS劫持代码之外,清理恶意代码后,还得好好修补网站漏洞……小心反复被黑……

文章来源:http://www.zhihu.com/question/19792103/answer/20160379 余弦撰文

作者:Evi1m0 | Categories:技术分享 | Tags:

发表评论