产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
【techtarget中国原创】 如果你可利用android木马程序来感染本地wifi接入点,并可利用dns劫持攻击每台连接到该网络的设备,那何必浪费时间去攻击android设备?
卡巴斯基研究人员报告称他们发现一种新型android恶意软件,他们称之为“trojan.androidos.switcher”,它做的正是上述的事情:当它启动并确定自己是在目标无线网络中后,该恶意软件会暴力破解本地wifi路由器密码。如果成功的话,该恶意软件会重置默认域名系统(dns)服务器为自己的服务器。这样的话,它就可对连接到该网络的其他设备或系统执行几乎任何类型的攻击。
卡巴斯基移动恶意软件分析师nikita buchka在博客中写道:“这种攻击并不是攻击用户,而是攻击用户连接的wifi,更准确地说,无线路由器。”这种新的android木马程序通过在路由器管理web界面暴力破解密码来获得访问权限。“如果攻击成功,该恶意软件会更改路由器设置中dns服务器的地址,因此它可将受感染wifi网络中设备的所有dns查询请求路由到攻击者的服务器,这种攻击也被称为dns劫持攻击。”
由于设备通常重置其默认dns服务器配置以反映本地wifi路由器中默认值,这种新型android木马程序可迫使通过路由器连接的设备指向受攻击者控制的流氓dns服务器。其结果是,当攻击者可访问路由器dns设置时,几乎可控制该路由器服务的网络中所有的流量。
buchka称,如果这个switcher恶意软件成功安装路由器中,它可让用户面临“广泛的攻击”威胁,例如网络钓鱼攻击。“攻击者篡改路由器设置的主要危害是,即使路由器重启新设置仍将存在,并且dns劫持很难被发现,”他表示,“即使流氓dns服务器被禁用一段时间,则将使用辅助dns(设置为8.8.8.8),用户和/或it也不会收到警告。”
通过设置辅助dns服务器为谷歌的dns服务--ip地址为8.8.8.8,攻击者可确保即使自己的恶意dns服务器不可用,用户也不会遭遇任何中断。
当switcher进入用户的android设备后,它会检查本地无线网络的基本服务集标识符(本地网络接入点的mac地址),并将其报告给该木马程序的命令控制网络,再进行暴力破解以及重新配置路由器。该恶意软件还会尝试识别正在使用哪个互联网服务提供商,以便它可重新配置路由器为使用流氓dns服务器,然后可对路由器系统管理的web界面进行暴力攻击。
卡巴斯基报告了两种版本的android木马程序:其中一个版本伪装成中文搜索引擎百度移动客户端,另一个伪装成流行中文应用(用于共享wifi访问信息)。根据卡巴斯基对该恶意软件中硬编码的输入字段名称的分析,以及对该android木马程序试图访问的html文件结构的分析,卡巴斯基判断该switcher只会感染tp-link wifi路由器。
switcher攻击者将其命令控制系统搭载在用于推广其假wifi接入应用的网站;根据卡巴斯基表示,该网站还包含switcher感染计数器。卡巴斯基报告称1280个wifi网络已经成功被渗透。卡巴斯基建议用户检查其dns配置是否已经配置为任何流氓dns服务器(101.200.147.153、 112.33.13.11和120.76.249.59)。如果网络已经被感染,则可重置dns服务器配置以及默认路由器管理密码来缓解攻击;我们还可通过更改系统管理默认用户id和密码来防止攻击。
techtarget中国原创内容,原文链接: http://www.searchsecurity.com.cn/showcontent_94322.htm
试用申请
