根据Avast的说法,DNS劫持是一个全球性的问题。今年早些时候,澳大利亚联邦政府机构网络安全中心(ACSC)宣布,它已经了解全球域名系统(DNS)基础设施劫持活动,并发布了一份声明,概述了组织如何保护其系统的最佳实践。
网络罪犯分子利用跨站点请求伪造攻击(CSRF)来执行用户不知情的命令,在这种情况下,修改用户的DNS设置以执行网络钓鱼和加密挖掘攻击,或通过恶意广告进行攻击。用于攻击路由器的已知路由器漏洞利用工具包包括GhostDNS,Novidade。
截至目前为止,在2019年Avast已阻止了超过70,000次GhostDNS攻击。GhostDNS漏洞利用工具包在全球地下黑客攻击场所的许多地方非常流行,其中一些变种属于2019年针对路由器的最活跃的漏洞利用工具包。仅在2月份,GhostDNS变种Novidade就试图感染Avast用户路由器超过260万次,并通过三个活动传播。根据Netlab360,GhostDNS 由一个复杂的系统组成,该系统包含网络钓鱼 Web 系统、Web 管理系统和恶意 DNS 系统。
DNS劫持导致网络钓鱼攻击
路由器CSRF攻击通常在用户使用恶意广告访问受感染网站时启动,该恶意广告通过第三方广告网络提供给网站。Avast 经常在本地网站上发现不良感染,这些网站包含成人内容、非法电影和体育。只需访问一个受到感染的站点,受害者就会被重定向到恶意网页,利用工具包登陆页面,在无需用户交互的情况下,后台会自动启动对路由器的攻击。
在许多情况下,由于密码较弱,漏洞利用工具包可以成功攻击路由器。它首先尝试在网络上找到路由器IP,然后尝试使用各种登录凭据猜测密码。
在某些情况下,路由器被重新配置为使用流氓DNS服务器,将受害者重定向到看起来像真正在线银行网站的网络钓鱼页面。最近,Netflix成为DNS劫持者的热门域名。
Avast数据显示,以下在巴西活跃的组织的网站最常遭到劫持:
“受影响的机构通常因其受欢迎程度而成为攻击目标,问题在于除了提醒客户之外,他们几乎无法避免其成为受害者,因为网络钓鱼网站不属于他们的域名。” Avast的威胁情报分析师David Jursa。
恶意广告和加密攻击
除了网络钓鱼之外,网络犯罪分子还使用DNS劫持将恶意广告替换为合法广告。例如,网络犯罪分子可以劫持广告平台,如Outbrain,它可以集成到网站中,为网站访问者提供广告。如果广告平台的服务器地址在用户的路由器上被劫持,则用户将看到恶意广告。例如,这些可能会诱使用户下载更多恶意软件,或者将他们引导到带有阴影或非法内容的未经请求的网站。
此外,Avast威胁研究人员还看到网络犯罪分子使用DNS劫持将恶意加密脚本推送到用户的浏览器,因此用户的机器被滥用以挖掘加密硬币。这会导致高额能源费用,并缩短受影响设备的生命周期。
网站和用户都应采取措施
David Jursa敦促消费者仔细检查网页并保护他们的家庭网络。“用户在访问银行等网站时应该小心,并确保该页面具有有效的证书。他们可以通过检查浏览器URL栏中的挂锁来完成此操作。用户还应经常将路由器的固件更新到最新版本,并使用强密码设置路由器的登录凭据。“
此外,各大网站也可以通过使用SSL证书对网站域名进行HTTPS加密(为网站浏览器加一把绿色的挂锁),从而确保网站数据不被篡改和窃取,防止DNS劫持、网页植入广告等现象,提升网站的安全性。