針對家用及SOHO路由器的Novidade EK
責編:gltian |2018-12-13 14:00:52一、前言
最近我們發現了一個新的exploit kit(漏洞利用工具集):Novidade。Novidade以家用路由器或者小型辦公路由器為目標,通過CSRF)(跨站請求偽造)修改路由器DNS設置,使攻擊者能夠通過Web應用攻擊受害者移動設備或桌面設備。一旦將DNS設置成惡意服務器,攻擊者就可以執行域名欺騙(pharming)攻擊,將目標域名IP地址解析為攻擊者控制的服務器,將連接至相同路由器的所有設備上的目標網站流量全都重定向至攻擊服務器。
我們最早在2017年8月發現過Novidade樣本,之后又發現了兩款不同的變種。雖然其中一個變種與最近GhostDNS攻擊活動中的DNSChanger系統有關,但我們認為Novidade并不局限于某次攻擊活動,因為其他活動也用到了這個EK。這可能有幾個原因,要么這套EK工具已經出售給多個攻擊組織,要么EK工具源代碼已泄露,攻擊者可以直接使用或者創建自己的變種。我們發現大部分攻擊活動都使用釣魚技術來竊取巴西國內的銀行憑據,然而最近我們發現有些攻擊活動目標并不局限于特定的地理位置,這表明攻擊者正在擴大范圍,或者有更多的攻擊者在使用這款EK。
我們將這款EK命名為Novidade,在葡萄牙語中代表“novelty”(新奇),這是因為當前所有變種的web頁面標題中都包含“Novidade!”這個字符串。
二、感染鏈
圖1. Novidade感染鏈
我們發現攻擊者會通過各種方法傳播Novidade,其中包括惡意廣告、注入已入侵的網站以及即時通訊工具。一旦受害者點擊Novidade鏈接,那么攻擊頁面首先會利用JavaScript?Image函數生成幾個HTTP地址,請求預定義的本地IP地址列表,這些IP地址通常由路由器所使用。如果成功建立連接,Novidade會查詢該IP地址,下載對應的漏洞利用payload,payload經過Base64編碼處理。Novidade會使用所有的漏洞payload來攻擊該IP地址,然后使用一組默認的賬戶名及密碼嘗試登錄路由器,接著執行CSRF攻擊以便將原始DNS服務器指向攻擊者的DNS服務器。一旦路由器被攻擊者入侵,連接該路由器的所有設備都存在域名欺騙攻擊風險。
圖2. 通過即時消息傳遞Novidade
使用Novidade的典型攻擊活動如下圖所示。在如下場景中,如果用戶嘗試連接目標銀行域名,惡意DNS服務器就會將地址解析成托管仿冒銀行網站的IP地址。
圖3. 典型的Novidade攻擊流量
三、變種分析
我們發現了Novidade的三款變種,這些變種都遵循前文提到的攻擊方法。然而,較新的變種對最原始的變種做了改進。第一個版本最早于2017年8月在網絡中出現,是最為基礎的版本,在早期攻擊活動中使用最多。第二個版本代碼結構類似,添加了一個運行時JavaSciprt混淆器(obfuscator),使攻擊過程中的攻擊頁面有所不同。GhostDNS的JavaScript子模塊就是Novidade的第二個變種。第三個版本保留了JavaScript混淆器,但改進了攻擊頁面代碼,并添加了一個新功能,能夠通過WebRTC請求STUN服務器獲取受害者的本地IP地址。第三個變種同樣支持攻擊者在攻擊頁面中嵌入短鏈接,用來跟蹤攻擊統計數據。
目前的攻擊活動中同時用到了第二款以及第三款Novidade變種。
表1. 三款Novidade變種對比
根據我們對惡意代碼、網絡流量以及公布的PoC代碼的分析,以下路由器型號可能會受攻擊影響(列表并不完整)。2018年9月,360 Netlab發表過分析GhostDNS的一篇文章,文中包含了其中某些路由器型號。
A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)
D-Link DSL-2740R
D-Link DIR 905L
Medialink MWN-WAPR300 (CVE-2015-5996)
Motorola SBG6580
Realtron
Roteador GWR-120
Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)
TP-Link TL-WR340G / TL-WR340GD
TP-Link WR1043ND V1 (CVE-2013-2645)
四、分析Novidade攻擊活動
我們發現多有個攻擊活動使用Novidade來攻擊路由器。許多攻擊活動針對的是巴西用戶,通過惡意廣告攻擊傳播工具集,竊取用戶銀行信息。我們利用Novidade中內嵌的短鏈接來跟蹤統計數據,發現自3月份以來,規模最大的攻擊活動投遞這款EK已經累計2400萬次。在9月份及10月份,我們還發現有兩個攻擊活動使用不同的方式來投遞Novidade。
第一個攻擊活動利用到了即時通訊新的通知消息,內容與2018年巴西總統選舉有關。惡意頁面偽裝成選舉候選人的民意調查頁面,然而頁面中注入了Novidade。事實證明這種攻擊手法非常狡猾,用戶在填寫調查網頁時Novidade就可以攻擊受害者路由器。隨后,攻擊者還要求受害者通過即時通訊工具向30個人分享該調查網站,才能收到候選人調查結果。
一旦成功入侵路由器,攻擊者就會將DNS服務器修改為144[.]217[.]24[.]233。不幸的是,當時我們無法確定域名欺騙的目標網站,因為在分析過程中,這個DNS服務器已經下線。
圖4. 偽裝的候選人調查網站,其中嵌入Novidade EK。網頁底部的問題是咨詢用戶是否已經參加過選舉調查
我們還觀察到從2018年10月份開始的另一個攻擊活動,當時我們注意到有多個網站被入侵,網頁上被注入一個iframe,會將用戶重定向至Novidade。在這個案例中,我們看到攻擊者會將攻擊范圍擴展到其他國家的網站中,并不局限于巴西境內。被入侵路由器的DNS設置會被修改為108[.]174[.]198[.]177的惡意DNS服務器,一旦受害者訪問google.com域名,就會被重定向至某個IP地址(107[.]155[.]132[.]183)。一旦受害者訪問目標域名,就會看到攻擊者構造的社會工程學頁面,要求用戶下載并安裝某個軟件。我們無法驗證這究竟是什么軟件,因為當時下載鏈接已經失效。然而,這很有可能是一款惡意軟件或者PUA(potentially unwanted application,潛在有害應用)軟件,因為之前攻擊者已經多次使用過這種技術。
圖5. 被入侵的網站中嵌入了一個隱藏的iframe,會將用戶重定向至Novidade EK
圖6. 偽造的軟件下載頁面
五、防護建議
為了防御類似Novidade的漏洞利用工具集,我們建議用戶始終保持設備固件已升級到最新版本。攻擊者經常利用設備的默認用戶名及密碼,因此所有用戶賬戶都應該使用強密碼。此外,大家還可以修改路由器的默認IP地址,禁用遠程訪問功能,盡可能減少攻擊者從外部篡改設備的可能性。最后,攻擊者應該使用使用安全Web連接(HTTPS)來訪問敏感網站,避免遭受域名欺騙攻擊。
在本月更新中,Trend Micro? Deep Security以及Vulnerability Protection解決方案提供了如下DPI規則,可以保護用戶系統免受這類漏洞攻擊:
1130410,WEB Multiple Devices Unauthenticated Remote DNS Change Vulnerability
1131093,WEB Multiple Devices Unauthenticated Remote DNS Change Vulnerability
六、IoC
Novidade EK域名
globo[.]jelastic[.]servint[.]net
landpagebrazil[.]whelastic[.[net
light[.]jelastic[.]servint[.]net
Novidade EK IP地址
52[.]47[.]94[.]175
社會工程學攻擊域名
pesquisaeleitoral2018[.]online
pesquisaparapresidente[.]online
惡意DNS服務器
108[.]174[.]198[.]177
144[.]217[.]24[.]233
172[.]245[.]14[.]114
192[.]3[.]178[.]178
192[.]3[.]190[.]114
192[.]3[.]8[.]186
198[.]23[.]140[.]10
198[.]46[.]131[.]130
23[.]94[.]149[.]242
23[.]94[.]190[.]242
23[.]95[.]82[.]42
域名欺騙Web服務器
107[.]155[.]132[.]183
178[.]159[.]36[.]75
91[.]234[.]99[.]242