-
-
波兰遭遇大规模DNS劫持攻击
-
发表于: 2014-2-13 12:24 2086
-
新闻链接:http://http://www.freebuf.com/news/25532.html
新闻时间:2014-02-12
新闻正文:波兰计算机应急中心检测到大量家用路由器的DNS配置被修改。黑客对大量网上银行的用户实施了中间人攻击。
波兰CERT在报告中写到: “很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件。这次中间人攻击中,黑客在多个网上银行的页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码。最后窃取了用户银行里的钱“。攻击的流程原理可用下图表示:
为了绕过HTTPS,黑客采用了SSL剥离的技术。攻击者阻止用户和银行之间建立SSL连接,使用户和代理服务器之间使用未加密的http通信。
唯一不同的是浏览器会提醒用户连接没有使用SSL加密。攻击者为了迷惑用户,重写了url,在域名前加了个“ssl-."的前缀。当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。
更多关于SSL stripping的技术可以参考利用sslstrip和ettercap突破ssl嗅探密码
根据波兰IT安全组织Niebezpiecznik.pl的调查,攻击者很可能利用的是ZyNOS路由器固件的漏洞,利用这个漏洞,攻击者可以未授权的情况下下载到路由器的配置信息,从而获取路由器的登陆密码。
波兰CERT的负责人Przemyslaw Jaroszewski提到,修改家用路由器的DNS记录有很多方法,有些已经存在很多年了。这次让我们吃惊的是第一次有如此大规模的,目的是窃取金钱的利用。这种针对网上银行用户的DNS劫持也许会越来越多。
防御的建议是家用路由器不要开启任何的远程管理功能,不要使用默认的管理密码。去年国内也曾爆发过一次大规模的家用路由器DNS劫持攻击。相关的技术和防御方法可以参考说说“史上最大规模的DNS劫持”。
新闻时间:2014-02-12
新闻正文:波兰计算机应急中心检测到大量家用路由器的DNS配置被修改。黑客对大量网上银行的用户实施了中间人攻击。
波兰CERT在报告中写到: “很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件。这次中间人攻击中,黑客在多个网上银行的页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码。最后窃取了用户银行里的钱“。攻击的流程原理可用下图表示:
为了绕过HTTPS,黑客采用了SSL剥离的技术。攻击者阻止用户和银行之间建立SSL连接,使用户和代理服务器之间使用未加密的http通信。
唯一不同的是浏览器会提醒用户连接没有使用SSL加密。攻击者为了迷惑用户,重写了url,在域名前加了个“ssl-."的前缀。当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。
更多关于SSL stripping的技术可以参考利用sslstrip和ettercap突破ssl嗅探密码
根据波兰IT安全组织Niebezpiecznik.pl的调查,攻击者很可能利用的是ZyNOS路由器固件的漏洞,利用这个漏洞,攻击者可以未授权的情况下下载到路由器的配置信息,从而获取路由器的登陆密码。
波兰CERT的负责人Przemyslaw Jaroszewski提到,修改家用路由器的DNS记录有很多方法,有些已经存在很多年了。这次让我们吃惊的是第一次有如此大规模的,目的是窃取金钱的利用。这种针对网上银行用户的DNS劫持也许会越来越多。
防御的建议是家用路由器不要开启任何的远程管理功能,不要使用默认的管理密码。去年国内也曾爆发过一次大规模的家用路由器DNS劫持攻击。相关的技术和防御方法可以参考说说“史上最大规模的DNS劫持”。
赞赏
他的文章
- [讨论]原来看雪是知道创宇旗下的啊 3848
- [讨论]自己收集的一些免。沙思路 11262
- [求助]这个工具叫什么名字啊? 1579
看原图
赞赏
雪币:
留言: