lời khuyên và hướng dẫn

Phần mềm độc hại GhostDNS trên bộ định tuyến có thể đánh cắp dữ liệu ngân hàng của người dùng

Các chuyên gia đã phát hiện ra rằng GhostDNS, một hệ thống chiếm quyền điều khiển DNS tinh vi để đánh cắp dữ liệu, đang ảnh hưởng đến hơn 100.000 bộ định tuyến - 87% trong số đó ở Brazil. Theo Netlab, một công ty chuyên về bảo mật thông tin, phần mềm độc hại đã được tìm thấy trong 70 mô hình khác, bao gồm các thương hiệu như TP-Link, D-Link, Intelbras, Multilaser và Huawei, trong số những người khác.

Sử dụng phương thức lừa đảo, mục tiêu cuối cùng của cuộc tấn công là khám phá thông tin đăng nhập của các trang web quan trọng, chẳng hạn như ngân hàng và nhà cung cấp lớn. Netlab tại 360 hồ sơ, đã phát hiện ra trò lừa đảo, URL Brazil của Netflix, Santander và Citibank là một trong số những người bị GhostDNS xâm chiếm. Tiếp theo, tìm hiểu tất cả về phần mềm độc hại và tìm hiểu cách tự bảo vệ mình.

ĐỌC: Tấn công vào bộ định tuyến đã đến hàng ngàn ngôi nhà ở Brazil; tránh

Phần mềm độc hại GhostDNS phá hoại hơn 100.000 bộ định tuyến và có thể đánh cắp dữ liệu ngân hàng

Bạn muốn mua điện thoại di động, TV và các sản phẩm giảm giá khác? Biết so sánh

Cuộc tấn công là gì?

Phần mềm độc hại được báo cáo bởi Netlab tại 360 thực hiện một cuộc tấn công được gọi là DNSchange. Nói chung, lừa đảo này cố gắng đoán mật khẩu bộ định tuyến trên trang cấu hình web bằng ID được đặt theo mặc định của nhà sản xuất như admin / admin, root / root, v.v. Một cách khác là bỏ qua xác thực bằng cách quét dnscfg.cgi. Với quyền truy cập vào cài đặt của bộ định tuyến, phần mềm độc hại sẽ thay đổi địa chỉ DNS mặc định - dịch URL từ các trang web mong muốn, chẳng hạn như ngân hàng - sang IP trang web độc hại.

GhostDNS là phiên bản cải tiến của chiến thuật này. Nó có ba phiên bản của DNSChanger, được gọi là vỏ chính là DNSChanger, DNSChanger và PyPhp DNSChanger. PyPhp DNSChanger là mô-đun chính trong số ba, đã được triển khai trên hơn 100 máy chủ, chủ yếu là Google Cloud. Cùng nhau, họ tập hợp hơn 100 tập lệnh tấn công, dành cho các bộ định tuyến trong Internet và mạng nội bộ.

Như thể đó là chưa đủ, vẫn còn ba mô-đun cấu trúc khác trong GhostDNS, ngoài DNSChanger. Đầu tiên là máy chủ DNS Rouge, chiếm quyền điều khiển tên miền của các ngân hàng, dịch vụ đám mây và các trang web khác với thông tin thú vị cho bọn tội phạm. Thứ hai là hệ thống lừa đảo web, lấy địa chỉ IP từ các tên miền bị đánh cắp và tương tác với nạn nhân thông qua các trang web giả mạo. Cuối cùng, có hệ thống quản trị web, trên đó các chuyên gia vẫn còn ít thông tin về hoạt động.

Lưu đồ tấn công được GhostDNS quảng bá tới các bộ định tuyến

Rủi ro của cuộc tấn công

Nguy cơ lớn của cuộc tấn công là với việc chiếm quyền điều khiển DNS, ngay cả khi bạn nhập đúng URL của ngân hàng vào trình duyệt, nó có thể chuyển hướng đến IP của một trang web độc hại. Vì vậy, ngay cả khi người dùng xác định các thay đổi đối với giao diện của trang, anh ta vẫn được tin rằng mình đang ở trong một môi trường an toàn. Điều này làm tăng cơ hội nhập mật khẩu ngân hàng, email, dịch vụ lưu trữ đám mây và các thông tin đăng nhập khác có thể được sử dụng bởi tội phạm mạng.

Những bộ định tuyến đã bị ảnh hưởng?

Trong khoảng thời gian từ ngày 21 đến 27 tháng 9, Netlab tại 360 chỉ tìm thấy hơn 100.000 địa chỉ IP của các bộ định tuyến bị nhiễm. Trong số này, 87, 8% - hoặc khoảng 87.800 - đang ở Brazil. Tuy nhiên, do sự thay đổi địa chỉ, số lượng thực tế có thể hơi khác nhau.

Bộ định tuyến bị nhiễm GhostDNS

Các bộ định tuyến bị ảnh hưởng đã bị nhiễm bởi các mô-đun DNSChanger khác nhau. Trong DNSChanger Shell, các mô hình sau đã được xác định:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Bộ định tuyến Kaiomy
  • Bộ định tuyến MikroTiK
  • OIWTECH OIW-2415CPE
  • Bộ định tuyến Ralink
  • Tốc độ
  • SpeedTouch
  • Lều
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLink 200 U / E

Các bộ định tuyến bị ảnh hưởng bởi DNSChanger Js là:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • Bộ định tuyến GWR-120
  • Phần mềm Secutech RiS
  • THÔNG MINH
  • TP-Link TL-WR841N / TL-WR841ND

Cuối cùng, các thiết bị bị ảnh hưởng bởi mô-đun chính, PyPhp DNSChanger, như sau:

  • AirRouter AirOS
  • Anten PQWS2401
  • Bộ định tuyến C3-TECH
  • Bộ định tuyến Cisco
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • Trung tâm chia sẻ D-Link
  • Elsys CPE-2n
  • Sợi quang
  • Sợi quang AN5506-02-B
  • Sợi liên kết 101
  • GPON ONU
  • Tuyệt vời
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LIÊN KẾT
  • MikroTik
  • Đa lớp
  • OIWTECH
  • PFTP-WR300
  • QBR-1041
  • Bộ định tuyến PNRT150M
  • Bộ định tuyến không dây N 300Mbps
  • Bộ định tuyến WRN150
  • Bộ định tuyến WRN342
  • Sapido RB-1830
  • KỸ THUẬT LAN WAR-54GS
  • Bộ định tuyến băng thông rộng Tenda Wireless-N
  • Thomson
  • Cung thủ TP-Link C7
  • TP-Link TL-WR1043ND
  • Liên kết TP-TL720N
  • Liên kết TP-TL740N
  • Liên kết TP-TL749N
  • TP-Link TL-WR840N
  • Liên kết TP-TL841N
  • Liên kết TP-TL845N
  • Liên kết TL-WR849N
  • TP-Link TL-WR941ND
  • Bộ định tuyến phần mềm Wive-NG
  • ZXHN H208N
  • Zyxel VMG3312

Cách tự bảo vệ mình

Bước đầu tiên là thay đổi mật khẩu của bộ định tuyến, đặc biệt nếu bạn sử dụng mã mặc định hoặc sử dụng mật khẩu yếu. Bạn cũng nên cập nhật phần sụn của bộ định tuyến và kiểm tra cài đặt nếu DNS đã thay đổi.

Cách đặt mật khẩu bộ định tuyến Wi-Fi của bạn

Các nhà sản xuất nói gì

Công ty đã liên hệ với Intelbras, họ không biết về bất kỳ vấn đề nào với bộ định tuyến của mình: "Chúng tôi thông báo cho bạn rằng chúng tôi chưa có trường hợp nào bị thương đối với người dùng thông qua 14 kênh dịch vụ tương ứng với lỗ hổng của bộ định tuyến Intelbras." Về bảo mật, công ty chỉ đạo người tiêu dùng theo kịp việc cập nhật thiết bị thường xuyên: "sự kiểm soát và tính sẵn có của phần mềm cập nhật có sẵn trên trang web của chúng tôi (www.intelbras.com.br/doads)".

Multilaser cũng tuyên bố không có vấn đề báo cáo cho đến nay. "Không có liên hệ với khách hàng thông qua các kênh dịch vụ có thể được kết nối với sự kiện. Multilaser khuyên người tiêu dùng liên hệ với bộ phận hỗ trợ để biết thêm thông tin về các bản cập nhật và cấu hình của thiết bị của thương hiệu."

D-Link báo cáo rằng lỗ hổng đã được báo cáo. Theo tuyên bố gửi đến, công ty đã đưa ra giải pháp cho người dùng bộ định tuyến của mình. "D-Link nhắc lại tầm quan trọng của việc liên tục cập nhật phần sụn của các bộ định tuyến bởi người dùng, điều này làm tăng tính bảo mật của thiết bị và kết nối", ông nói thêm.

TP-Link tuyên bố nhận thức được vấn đề và khuyến nghị người dùng nên cập nhật chương trình cơ sở và thay đổi mật khẩu cho thiết bị của họ. TP-Link nhận thức được các nghiên cứu liên quan đến lỗ hổng của các bộ định tuyến của mình như một cách để ngăn chặn phần mềm độc hại có thể này, TP-Link khuyến nghị theo các bước sau:

  • Thay đổi mật khẩu mặc định thành mật khẩu phức tạp hơn để ngăn kẻ xâm nhập truy cập cài đặt bộ định tuyến;
  • Hãy chắc chắn rằng bộ định tuyến của bạn đang sử dụng phiên bản phần sụn mới nhất. Nếu không, hãy nâng cấp để ngăn các lỗ hổng cũ bị khai thác. "

Huawei đã không bình luận cho đến khi vấn đề này được công bố.

Qua Netlab tại 360

Kênh bộ định tuyến Wi-Fi tốt nhất là gì? Khám phá trong Diễn đàn.

Đề XuấT

Cách thay đổi hoặc xóa Sim trong The Sims 4
làm thế nào

Cách thay đổi hoặc xóa Sim trong The Sims 4

Cách kết nối PS4 với mạng Wi-Fi yêu cầu đăng nhập web
làm thế nào

Cách kết nối PS4 với mạng Wi-Fi yêu cầu đăng nhập web

Cách tải xuống Monster Hunter World trên Xbox One và PS4
làm thế nào

Cách tải xuống Monster Hunter World trên Xbox One và PS4

Đề XuấT