سرقت اطلاعات رد و بدل شده از 100 هزار روتر وای فای توسط بد افزار گوست DNS

محققان امنیت سایبری چینی خبر از بدافزار جدید داده اند که آدرس های DNS بیش از 100 هزار روتر وای فای خانگی را دستکاری کرده است. به این ترتیب کاربران به صفحات وب آلوده منتقل شده اند و اطلاعات ورود آنها به سایت های مختلف سرقت شده است.

روش این روش حمله که GhostDNS نامیده می شود شباهت های بسیاری با نحوه عمل بدفزار DNSChanger داشته است. DNSChanger هم از طریق تغییر دادن آدرس های DNS دستگاه ها را آلوده می کند و به هکرها این امکان را می دهد که ترافیک اینترنت را به مقصد هدف خود منتقل کنند و اطلاعات حساس کاربران را سرقت کنند.

در گزارش شرکت Qihoo 360's NetLab نحوه عمل گوست DNS تشریح شده. در این حمله هم مشابه با DNSChanger آدرس های IP روترها بررسی می شود تا آنهایی که پسوردهای ضعیفی دارند یا فاقد پسورد هستند شناسایی شوند. در ادامه با دستکاری تنظیمات این روترها آدرس های DNS پیش فرض آنها به موارد دلخواه هکرها تغییر داده می شود تا کاربران متصل به روترهای آلوده شده به صفحات وب مورد نظر هکرها هدایت شوند.

گوست DNS

ماژول های مورد استفاده گوست DNS به این شرح هستند:

1- ماژول DNSChanger: این اصلی ترین بخش است و به گونه ای طراحی شده که روترهای هدف را بر اساس اطلاعاتی که جمع آوری شده مورد سوء استفاده قرار دهد. این ماژول خود از سه زیر ماژول دیگر تشکلی شده است:

الف) Shell DNSChanger که در شل نوشته شده. این ماژول شامل 25 اسکریپت شل است که می تواند با استفاده از حملات جستجوی فراگیر، پسوردهای روی بسته فرم ویر روترهای 21 سازنده مختلف را بیابد.

ب) Js DNSChanger که عمدتاً با جاوا اسکریپت نوشته شده. این ماژول شامل 10 اسکریپت حمله است که برای آلوده کردن 6 بسته فرم ویر یا روتر به کار می رود. ساختار کاربردی این قسمت به گونه ای طراحی شده که به بخش های اسکنر، تولیدکننده محموله و برنامه حمله تقسیم می شود. برنامه Js DNSChanger عمدتاً به وب سایت های فیشینگ تزریق می شود.

ج) PyPhp DNSChanger که در دو زبان PHP و پایتون نوشته شده. شامل 69 اسکریپت حمله به 47 فرم ویر یا روتر است و روی بیش از 100 سرور پیاده سازی شده که بیشتر آنها سرورهای ابری گوگل هستند.

این زیر ماژول ها هسته ای هستند که با استفاده از آنها هکرها می توانند اینترنت را در پی یافتن روترهای آسیب پذیر جستجو کنند.

2- ماژول وب ادمین: به نظر می رسد محققان هنوز اطلاعات چندانی در مورد این ماژول ندارند. ظاهراً این بخش پنل دسترسی ادمین برای هکرها است و از طریق یک صفحه لاگین محافظت می شود.

3- ماژول Rogue DNS: این ماژول وظیفه تبدیل نام میزبان های هدف به آدرس های IP را برای وب سرورهای تحت کنترل هکرها انجام می دهد. این نام ها عمدتاً شامل موارد مرتبط با بانک ها، سرویس های میزبانی فضای ابری و دامنه هایی متعلق به شرکت های امنیتی از جمله آویرا هستند. البته اشاره شده که مشخص نیست چه تعداد نام دامنه به سرقت رفته است.

4- ماژول وب فیشینگ: وقتی یک نام دامنه هدف با استفاده از ماژول rogue DNS با موفقیت به آدرس IP اشتباه تبدیل شد، ماژول وب فیشینگ نسخه ای تقلبی از وبسایت مرتبط با دامنه مورد نظر را اجرا می کند.

گوست DNS

به گفته محققان از 21 تا 27 سپتامبر (30 شهریور تا 5 مهر) به تعداد 100 هزار روتر در معرض خطر این آسیب پذیری قرار گرفته اند که از این تعداد 87 هزار و 800 عدد در برزیل قرار داشتند. در این حمله بیش از 70 روتر یا فرم ویر به همراه بیش از 50 دامنه تحت تأثیر قرار گرفته اند. برخی از دامنه های سوء استفاده شده متعلق به بانک های مطرحی در برزیل از جمله سیتی بانک و نیز نتفلیکس بوده اند.

چگونه از روترتان در مقابل حمله ها محافظت کنید

برای این که از چنین حملاتی جلوگیری کنید پیشنهاد می شود راهکارهای زیر را در نظر بگیرید:

  • همواره آخرین نسخه از فرم ویر روتر خود را نصب کنید.
  • از پسوردهای لاگین پیچیده برای محافظت از روتر بهره ببرید.
  • دسترسی ادمین از راه دور را در روتر خود غیر فعال کنید.
  • آدرس های IP پیش فرض روتر را نیز تغییر دهید.
  • از سرورهای DNS معتبر و مطمئن در روتر و سیستم عامل خود استفاده کنید

محققین NetLab پیشنهاد کرده اند تولید کننده های روترها پیچیدگی پسوردهای پیش فرض را افزایش و مکانیزم های به روز رسانی امنیتی محصولات خود را نیز بهبود دهند.

مطالب مرتبط

رونمایی «رینگ» از یک دوربین امنیتی پرنده [تماشا کنید]

«رینگ»، کمپانی زیر مجموعه آمازون که در ساخت دوربین های امنیتی فعالیت دارد از دوربین امنیتی «Always Home Cam» در قالب یک پهپاد خودران رونمایی کرده که درون خانه پرواز کرده و امکان مشاهده تمام اتاق‌ها و زوایا را برای کاربر فراهم می‌سازد.Always Home Cam پرواز را از درون داک مخصوص که نقش شارژر را هم... ادامه مطلب

جاسوسی از گوشی کاربران از طریق آسیب‌پذیری اینستاگرام

محققان امنیتی آسیب پذیری را در اینستاگرام شناسایی کرده‌اند که به هکرها امکان جاسوسی از گوشی کاربران از طریق دوربین و میکروفون را می‌داد.این باگ مهم توسط موسسه امنیتی «Check Point» شناسایی شد اما برای جلوگیری از سوءاستفاده هکرها به صورت محرمانه به فیسبوک گزارش شد. مشکل مذکور که حالا برطرف شده به عنوان آسیب‌پذیری حیاتی در... ادامه مطلب

آیا حساب ‌های Call of Duty هک شده‌اند؟

به نظر می‌رسد اطلاعات ورود به حساب بیش از ۵۰۰ هزار حساب اکتیویژن هک شده است. سایت Dexerto گزارش داده که این نشت اطلاعاتی روز یکشنبه ۲۰ سپتامبر (۳۰ شهریور) رخ داده است.وب‌سایت فوربس از Dexerto نقل می‌کند که اختیار دسترسی به حساب کاربران به صورت عمومی منتشر شده و جزئیات حساب، برای جلوگیری از بازیابی آن‌ها... ادامه مطلب

روس‌ها در تقابل با جهان: با ۵ مورد از مشهورترین هکرهای روسی آشنا شوید

هکرهای روسی به مهارت‌های عجیب و غریب خود شهرت دارند: از برنامه‌نویس شرور و دشمن اصلی جیمز باند در فیلم GoldenEye گرفته تا بزرگ‌ترین پرونده جرایم سایبری در تاریخ آمریکا. و درحالی که هکرهای کشورهای دیگر معمولا انگیزه‌هایی ایدئولوژیک دارند،‌ اکثر مجرمان سایبری روسی به خاطر خالی کردن دیجیتالی جیب مردم و حساب‌های بانکی (گاهی... ادامه مطلب

سرقت اطلاعات ده‌ها میلیون کاربر اپ بینگ به خاطر امنیت پایین سرور مایکروسافت

اخیرا چندین ترابایت اطلاعات کاربران اپ موبایل بینگ از یک سرور به سرقت رفته و کاربران تمام پلتفرم‌ها را در معرض خطر قرار داده است.بینگ یک موتور جستجوی متعلق به مایکروسافت است و اطلاعات موجود در این سرور باز مربوط به کاربران اپ موبایل بینگ در iOS و اندروید می‌شود. این سرور بیش از ۶.۵... ادامه مطلب

تهدید فیسبوک به قطع خدمات در اروپا در صورت ممنوعیت ارسال داده به آمریکا

ماه گذشته، «کمیسیون حفاظت از داده‌‌های ایرلند»، قانون ممنوعیت ارسال اطلاعات کاربران کشورهای عضو اتحادیه اروپا به آمریکا از طریق فیسبوک را در دستور کار خود قرار داد. اکنون، فیسبوک نسبت به تصمیم این کمیسیون واکنش نشان داده و اعلام کرده که اگر این قانون اجرایی شود، خدمات خود را از اروپا قطع می‌کند.شهریور ماه امسال،... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟