ipuçları ve öğreticiler

Yönlendiricilerdeki GhostDNS kötü amaçlı yazılımları kullanıcı bankacılığı verilerini çalabilir

Uzmanlar, veri hırsızlığı için karmaşık bir DNS ele geçirme sistemi olan GhostDNS'nin 100.000'den fazla yönlendiriciyi etkilediğini keşfetti - yüzde 87'si Brezilya'da. Bilgi güvenliği konusunda uzmanlaşmış bir şirket olan Netlab'a göre, TP-Link, D-Link, Intelbras, Multilaser ve Huawei gibi markalar dahil olmak üzere diğer 70 modelde kötü amaçlı yazılım bulundu.

Kimlik avı yöntemini kullanarak saldırının nihai amacı, bankalar ve büyük sağlayıcılar gibi önemli sitelerin kimlik bilgilerini keşfetmektir. Dolandırıcılığı keşfeden 360 rekordaki Netlab, Netflix'in Brezilya URL'leri, Santander ve Citibank, GhostDNS tarafından istila edilenlerden bazılarıydı. Ardından, kötü amaçlı yazılımlar hakkında her şeyi öğrenin ve kendinizi nasıl koruyacağınızı öğrenin.

OKUYUN: Yönlendiricideki grev zaten Brezilya'da binlerce eve ulaştı; önlemek

Kötü amaçlı yazılım GhostDNS, 100.000'den fazla yönlendirici barındırıyor ve banka verilerini çalabiliyor

Cep telefonu, TV ve diğer indirimli ürünleri almak ister misiniz? Karşılaştırma bilmek

Saldırı nedir?

Netlab tarafından 360'ta bildirilen kötü amaçlı yazılım, DNSchange olarak bilinen bir saldırı gerçekleştiriyor. Genel olarak, bu aldatmaca, admin / admin, root / root vb. Üreticiler tarafından varsayılan olarak ayarlanan kimlikleri kullanarak web yapılandırma sayfasında yönlendirici parolasını tahmin etmeye çalışır. Başka bir yol dnscfg.cgi dosyasını tarayarak kimlik doğrulamasını atlamaktır. Yöneltici ayarlarına erişildiğinde, kötü amaçlı yazılım, URL'leri bankalar gibi istenen sitelerden kötü amaçlı site IP'lerine çeviren varsayılan DNS adresini değiştirir.

GhostDNS bu taktiğin çok daha gelişmiş bir sürümüdür. Kabuğun içinde DNSChanger, DNSChanger ve PyPhp DNSChanger olarak adlandırılan üç DNSChanger sürümü vardır. PyPhp DNSChanger, çoğu Google Cloud olmak üzere 100’den fazla sunucuya dağıtılmış üçü arasında bulunan ana modüldür. Birlikte, İnternet ve intranet ağlarındaki yönlendiriciler için tasarlanmış 100'den fazla saldırı komut dosyası bir araya getiriyorlar.

Bu yeterli değildi, DNSChanger'ın yanı sıra, GhostDNS'de hala üç tane daha yapısal modül var. Bunlardan ilki, bankaların, bulut hizmetlerinin ve suçlular için ilginç referanslara sahip diğer sitelerin etki alanlarını ele geçiren Rouge DNS sunucusudur. İkincisi, IP adreslerini çalınan alanlardan alan ve sahte siteler aracılığıyla mağdurlarla etkileşime giren web kimlik avı sistemidir. Son olarak, uzmanların operasyon hakkında hala az bilgi sahibi olduğu web yönetim sistemi vardır.

GhostDNS destekli saldırı akış şeması yönlendiricilere

Saldırının riskleri

Saldırının en büyük riski, DNS'nin kaçırılmasıyla, bankanızın URL’sini tarayıcıya doğru girseniz bile, kötü amaçlı bir sitenin IP’sine yönlendirebilir. Dolayısıyla, bir kullanıcı sayfanın arayüzündeki değişiklikleri tanımlasa bile, güvenli bir ortamda olduğuna inanmaya yönlendirilir. Bu, banka şifrelerinde, e-postada, bulut depolama hizmetlerinde ve siber suçlular tarafından kullanılabilecek diğer kimlik bilgilerinde yazma şansını artırır.

Hangi yönlendiriciler etkilendi?

21-27 Eylül arasında, Netlab 360'ta, 100.000'in üzerinde virüslü yönlendiricinin IP adresini buldu. Bunların% 87.8'i - veya yaklaşık olarak 87.800'i Brezilya'da. Bununla birlikte, adres değişikliklerinden dolayı, gerçek sayı biraz farklı olabilir.

GhostDNS Enfekte Yönlendirici Sayacı

Etkilenen yönlendiricilere farklı DNSChanger modülleri bulaşmış. DNSChanger Shell'de aşağıdaki modeller tanımlanmıştır:

  • 3COM OCR-812
  • AP-ROUTER
  • D-BAĞLANTI
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • MikroTiK Yönlendiriciler
  • OIWTECH OIW-2415CPE
  • Ralink Yönlendiricileri
  • SpeedStream
  • SpeedTouch
  • çadır
  • TP-BAĞLANTI TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / S

Zaten DNSChanger J'ler tarafından etkilenen yönlendiriciler şunlardı:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • GWR-120 Router
  • Secutech RiS Bellenimi
  • SmartGate
  • TP Bağlantısı TL-WR841N / TL-WR841ND

Son olarak, ana modül PyPhp DNSChanger'dan etkilenen cihazlar şunlardır:

  • AirRouter AirOS
  • Anten PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link Paylaşım Merkezi
  • Elsys CPE-2n
  • FiberHome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • MULTILASER
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • PNRT150M Router
  • Kablosuz N 300 Mbps Router
  • WRN150 Router
  • WRN342 Router
  • Sapido RB-1830
  • TEKNİK LAN WAR-54GS
  • Tenda Kablosuz-N Geniş Bant Router
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP Bağlantısı TL-WR740N
  • TP-Link TL-WR749N
  • TP Bağlantısı TL-WR840N
  • TP Bağlantısı TL-WR841N
  • TP Bağlantısı TL-WR845N
  • TP Bağlantısı TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG ürün yazılımı yönlendiricileri
  • ZXHN H208N
  • Zyxel VMG3312

Kendinizi nasıl korursunuz?

İlk adım, özellikle varsayılan kodu kullanıyorsanız veya zayıf bir şifre kullanıyorsanız, yönlendiricinin şifresini değiştirmektir. Ayrıca, yönlendirici üretici yazılımını güncellemeniz ve DNS değişmişse ayarları kontrol etmeniz önerilir.

Wi-Fi yönlendirici şifrenizi nasıl ayarlayabilirsiniz

Üreticiler ne diyor

Şirket, yönlendiricileriyle ilgili herhangi bir sorunun farkında olmayan Intelbras'la temasa geçti: "Size, Intelbras yönlendiricilerin kırılganlığına karşılık gelen 14 hizmet kanalımız üzerinden kullanıcılarımız için şu ana kadar herhangi bir tescilli yaralanma vakası olmadığını bildiriyoruz." Güvenlik ile ilgili olarak, şirket tüketicileri ekipmanın rutin güncellemesine ayak uydurmaya yönlendirmektedir: "güncellenen ürün yazılımının kontrolü ve kullanılabilirliği web sitemizde mevcuttur (www.intelbras.com.br/downloads)".

Multilaser ayrıca şu ana kadar rapor edilmiş bir sorun olmadığını da iddia ediyor. "Etkinliğe bağlanabilecek hizmet kanalları üzerinden müşteri teması yoktu. Multilaser, tüketicilere markanın cihazlarının güncellemeleri ve yapılandırmaları hakkında daha fazla bilgi için destekle bağlantı kurmalarını önerir."

D-Link, güvenlik açığının zaten bildirildiğini bildirir. Yapılan açıklamaya göre, şirket bu çözümü yönlendiricilerin kullanıcılarının kullanımına sundu. "D-Link, yönlendiricilerin donanım yazılımını kullanıcılar tarafından sürekli olarak güncelleştirmenin önemini vurgulayarak, ekipmanın güvenliğini ve bağlantının artmasını sağlar" dedi.

TP-Link, sorunun farkında olduğunu iddia eder ve kullanıcıların cihaz yazılımını güncel tutmasını ve cihazlarının şifresini değiştirmelerini önerir. TP-Link, bu olası kötü amaçlı yazılımları önlemenin bir yolu olarak yönlendiricilerinin güvenlik açığı ile ilgili araştırmaların farkındadır, TP-Link aşağıdaki adımları takip etmenizi önerir:

  • Davetsiz misafirlerin yönlendirici ayarlarına erişmesini önlemek için varsayılan şifreyi daha karmaşık bir şifre ile değiştirin;
  • Yönlendiricinizin en son üretici yazılımı sürümünü kullandığından emin olun. Değilse, eski güvenlik açıklarından yararlanılmasını önlemek için yükseltme yapın. "

Huawei bu konu yayınlanana kadar yorum yapmadı.

360'da Netlab üzerinden

En iyi Wi-Fi yönlendirici kanalı hangisidir? Forumda keşfedin.

Tavsiye

Komik videoları açmak için Storyboard nasıl kullanılır?
olarak

Komik videoları açmak için Storyboard nasıl kullanılır?

Twitter, uygulamalar ve hizmetler için geçici şifre oluşturur; nasıl kullanılacağını öğren
ipuçları ve öğreticiler

Twitter, uygulamalar ve hizmetler için geçici şifre oluşturur; nasıl kullanılacağını öğren

Facebook: Kişisel verilerinizi sağlamadan uygulamaları bağlı tutma
ipuçları ve öğreticiler

Facebook: Kişisel verilerinizi sağlamadan uygulamaları bağlı tutma

Tavsiye