マルウェアはルーターにどのような影響を与えるのでしょうか?

tag-icon tag-icon router malware
マルウェアはルーターにどのような影響を与えるのでしょうか?

ルーターに問題がありました(質問の私のデバイスにも同じポップアップが表示されます。マルウェアがあるのでしょうか?返信できませんでした)マルウェアに感染していました。ルーターを変更して問題を確認したところ、ポップアップは消えました。

この種のマルウェアに遭遇したのは初めてでしたが、ルーターに感染するなんてあり得るのでしょうか。

ファームウェアには何らかのレベルのセキュリティがありますか?

ルーターのモデルはレベル 1 です。

答え1

ルーターに感染する可能性はどのようにしてありますか?

感染経路は数多く考えられます。

  • こうした感染の1つでは、マルウェアがルーターとそのDNS設定を改ざんするために使用されます。このマルウェアは、ローカルネットワークからルーターに感染します(DNSチェンジャーマルウェアが家庭用ルーターを狙う)。

    このマルウェアは、ユーザーを悪意のあるバージョンのページにリダイレクトします。これにより、犯罪者はアカウントの認証情報、PIN 番号、パスワードなどを盗むことができます。

    指摘されているように別の答えDNS は、広告サーバー経由でリクエストをリダイレクトするためにも使用できます。

  • 別の感染では、マルウェアはルーターのリモートアクセスコードの欠陥を利用してインターネットからルーターに感染します(奇妙な攻撃により、Linksys ルーターが自己複製型マルウェアに感染)。

  • 「ルーター マルウェア」を検索すると、他の多くのルーター マルウェアの亜種が見つかります。

DNSチェンジャーマルウェアが家庭用ルーターを狙う

家庭用ルーターはユーザーの認証情報を盗むのに使用できますが、ほとんどの人がまだそのことに気づいていません。悪意のある人物は、ドメイン ネーム システム (DNS) チェンジャー マルウェアを使用して、最も目立たないネットワーク ルーターを彼らの計画の重要なツールに変える方法を見つけました。

ルーターに悪意のある DNS サーバー設定が付属している場合があることはすでに知られています。このシナリオでは、マルウェアを使用してルーターとその DNS 設定を改ざんします。ユーザーが正当な銀行の Web サイトや、悪意のある人物が定義したその他のページにアクセスしようとすると、マルウェアはユーザーをそのページの悪意のあるバージョンにリダイレクトします。これにより、サイバー犯罪者はユーザーのアカウント認証情報、PIN 番号、パスワードなどを盗むことができます。

ブラジル (全感染の約 88%)、米国、日本で、関連する悪意のあるサイトが増えています。これらのサイトでは、内部ネットワークから被害者のルーターに対してブルート フォース攻撃を実行するブラウザー スクリプトが実行されます。適切な資格情報を使用して管理インターフェイスにアクセスすると、スクリプトは悪意のある DNS サーバー IP アドレスを使用してルーターに単一の HTTP 要求を送信します。悪意のあるバージョンが現在の IP アドレスを置き換えると、感染が完了します。ナビゲーションの一時ファイルを除き、被害者のマシンにはファイルは作成されず、永続的な手法は必要なく、何も変更されません。

DNS 設定が変更されると、ユーザーは信頼できるサイトのクローンに移動していることに気付きません。デフォルトの資格情報を変更しないユーザーは、この種の攻撃に対して非常に脆弱です。

ソースDNSチェンジャーマルウェアが家庭用ルーターを狙う

奇妙な攻撃により、Linksys ルーターが自己複製型マルウェアに感染

この攻撃は、ISP などが自宅やオフィスのルーターをリモート管理できるようにするインターフェースである Home Network Administration Protocol (HNAP) へのリモート呼び出しから始まる。このリモート機能は、インターネット経由で送信されるコマンドをリッスンする組み込み Web サーバーによって公開される。通常、リモート ユーザーはコマンドを実行する前に有効な管理パスワードを入力する必要があるが、HNAP 実装の以前のバグにより、ルーターは攻撃に対して脆弱なままになっている。HNAP を使用して脆弱なルーターを特定した後、ワームは CGI スクリプトの認証バイパスの脆弱性を悪用する (Ullrich 氏がスクリプトを特定していないのは、このスクリプトが多くの古いルーターで修正されていないためであり、攻撃者がこのスクリプトをターゲットにしやすくしたくないためである)。Ullrich 氏は、Linksys 感染の原因として弱いパスワードの可能性は排除したと述べた。

ソース奇妙な攻撃により、Linksys ルーターが自己複製型マルウェアに感染

答え2

これは、従来の意味での感染ではありません。ルーターの DNS 設定を変更して、リクエストが特別な DNS サーバーに送信されるようにします。これらのサーバーは、偽のサイトやマルウェアに感染した本物のサイトにリダイレクトするように設定されています。

たとえば、あなたの銀行の Web サイトのコピーが作成され、次にオンライン バンキングにアクセスしようとしたときに、あなたの認証情報が盗まれ、銀行の Web サイトのセキュリティの程度によっては、あなたのお金が盗まれる可能性もあります。

答え3

DanielB さんは間違ってはいませんが、あなたの質問は「どのように」という点に重点が置かれています。

ルーターは通常、LAN 外部からのリモート管理を許可しないように設定されています。ただし、ルーター自身の LAN 内のコンピューターからのリモート管理アクセスは受け入れます。

あなたのマルウェアおそらく使用済みあなたのコンピュータが管理ページにアクセスできないようにするため、ルーターは LAN 内からの管理接続を受け入れました。マルウェアはブラウザ セッション内からこれをすべて実行した可能性もありますが、おそらくはトロイの木馬をシステムにドロップし、ルーターを検査して既知の脆弱性のリスト (デフォルトの工場出荷時のパスワードを使用するだけなど) を試し、DNS の構成を変更してすべてのリクエストを広告サーバー経由でルーティングし、そこですべてのページをプロキシしてコードを挿入します。

おそらく、ハード ファクトリー リセット (マニュアルを確認してください。通常は、電源をオフにし、リセット ボタンを 90 秒間押したまま電源をオンにするなど) を実行してから、再設定する必要があります。パスワードを変更します。

この方法で新しいファームウェアをアップロードすることが可能であることに注意してください。つまり、単なるユーザー構成の変更以上のものになる可能性があります。

また、ルーターの設定を再編集するだけのプログラム ドロッパーやトロイの木馬がコンピューターに存在しないか検査する必要もあります。

関連情報