原标题:DNSChanger再度来袭 目标家用/办公路由器

12月19日消息,据外媒报道,安全研究人员发现曾经猖獗一时的DNSChanger恶意软件再次被用于发动大规模恶意攻击。据悉,攻击者通过DNSChanger攻击包针对166种家用或小型办公路由器型号展开了恶意广告分发攻击。

最早,DNSChanger是活跃于2007年至2012年的DNS劫持软件。该恶意软件由爱沙尼亚一家叫Rove Digital的公司研发,它会通过修改计算机的DNS设置,指向他们自己的服务器来感染电脑。通过这种方式,用户在浏览网页时便会被插入广告。在该软件鼎盛时期,大约感染了超过400万台计算机,并为该公司带来了至少1400万美元的非法广告收入。

然而近日发现的DNSChanger攻击包,则不再是针对浏览器,而是锁定受害者的路由器展开的攻击。根据安全机构Proofpoint公布的研究报告指出,易受攻击的路由器包括了目前部分主流的路由器品牌如D-Link、Netgear以及一些SOHO品牌如Pirelli、Comtrend等。

DNSChanger攻击开始于攻击者在主流网站上购买和放置广告,这些广告包含了恶意的JavaScript代码,可通过触发对Mozilla STUN服务器(stun.services.mozilla.com)的WebRTC请求来显示用户的本地IP地址。一旦攻击者建立目标的本地IP地址,他们会试图确定目标是否值得攻击。

如果值得攻击,而受害者的路由器又具有可利用之漏洞的话,攻击者便会使用已知路由器漏洞来修改路由器的DNS列表。如果没有已知漏洞,攻击者便会利用DNSChanger攻击尝试使用默认凭证来更改DNS列表,并尝试从外部地址获取管理端口以进行其他攻击,包括中间人攻击、网络钓鱼、金融欺诈、广告欺诈等等。

通过攻击,其目标是更改受害者路由器上的DNS列表,进而导流一些大型网络广告代理的流量为其赚钱,或使之访问攻击者操控的DNS服务器,展开其他攻击等等。

那么对此用户又该如何进行防范呢?建议首先将路由器固件升级至最新版,之后可以更改路由器上的默认本地IP范围,禁用SOHO路由器上的远程管理功能,以及使用广告拦截浏览器加载项等手段进行安全防护。

本文属于原创文章,如若转载,请注明来源:DNSChanger再度来袭 目标家用/办公路由器http://net.zol.com.cn/619/6198308.html