信息來(lái)源：企業(yè)網(wǎng) 

12月19日消息，據(jù)外媒報(bào)道，安全研究人員發(fā)現(xiàn)曾經(jīng)猖獗一時(shí)的DNSChanger惡意軟件再次被用于發(fā)動(dòng)大規(guī)模惡意攻擊。據(jù)悉，攻擊者通過(guò)DNSChanger攻擊包針對(duì)166種家用或小型辦公路由器型號(hào)展開(kāi)了惡意廣告分發(fā)攻擊。

DNSChanger攻擊再度來(lái)襲

最早，DNSChanger是活躍于2007年至2012年的DNS劫持軟件。該惡意軟件由愛(ài)沙尼亞一家叫Rove Digital的公司研發(fā)，它會(huì)通過(guò)修改計(jì)算機(jī)的DNS設(shè)置，指向他們自己的服務(wù)器來(lái)感染電腦。通過(guò)這種方式，用戶(hù)在瀏覽網(wǎng)頁(yè)時(shí)便會(huì)被插入廣告。在該軟件鼎盛時(shí)期，大約感染了超過(guò)400萬(wàn)臺(tái)計(jì)算機(jī)，并為該公司帶來(lái)了至少1400萬(wàn)美元的非法廣告收入。

然而近日發(fā)現(xiàn)的DNSChanger攻擊包，則不再是針對(duì)瀏覽器，而是鎖定受害者的路由器展開(kāi)的攻擊。根據(jù)安全機(jī)構(gòu)Proofpoint公布的研究報(bào)告指出，易受攻擊的路由器包括了目前部分主流的路由器品牌如D-Link、Netgear以及一些SOHO品牌如Pirelli、Comtrend等。

DNSChanger攻擊開(kāi)始于攻擊者在主流網(wǎng)站上購(gòu)買(mǎi)和放置廣告，這些廣告包含了惡意的JavaScript代碼，可通過(guò)觸發(fā)對(duì)Mozilla STUN服務(wù)器（stun.services.mozilla.com）的WebRTC請(qǐng)求來(lái)顯示用戶(hù)的本地IP地址。一旦攻擊者建立目標(biāo)的本地IP地址，他們會(huì)試圖確定目標(biāo)是否值得攻擊。

DNSChanger攻擊解析

如果值得攻擊，而受害者的路由器又具有可利用之漏洞的話(huà)，攻擊者便會(huì)使用已知路由器漏洞來(lái)修改路由器的DNS列表。如果沒(méi)有已知漏洞，攻擊者便會(huì)利用DNSChanger攻擊嘗試使用默認(rèn)憑證來(lái)更改DNS列表，并嘗試從外部地址獲取管理端口以進(jìn)行其他攻擊，包括中間人攻擊、網(wǎng)絡(luò)釣魚(yú)、金融欺詐、廣告欺詐等等。

通過(guò)攻擊，其目標(biāo)是更改受害者路由器上的DNS列表，進(jìn)而導(dǎo)流一些大型網(wǎng)絡(luò)廣告代理的流量為其賺錢(qián)，或使之訪(fǎng)問(wèn)攻擊者操控的DNS服務(wù)器，展開(kāi)其他攻擊等等。

那么對(duì)此用戶(hù)又該如何進(jìn)行防范呢？建議首先將路由器固件升級(jí)至最新版，之后可以更改路由器上的默認(rèn)本地IP范圍，禁用SOHO路由器上的遠(yuǎn)程管理功能，以及使用廣告攔截瀏覽器加載項(xiàng)等手段進(jìn)行安全防護(hù)。