Como o malware pode afetar um roteador?

Question 1

Como é possível infectar um roteador?

Existem muitos vetores de infecção possíveis.

Numa dessas infecções, o malware é usado para adulterar o roteador e suas configurações de DNS. Este malware infecta o roteador da rede local (Malware DNS Changer atinge roteadores domésticos).

O malware redirecionaria os usuários para versões maliciosas de páginas. Isso permite que os criminosos roubem credenciais de contas, números PIN, senhas, etc.

Como apontado emoutra resposta, o DNS também pode ser usado para redirecionar solicitações por meio de servidores de anúncios.
Em outra infecção, o malware infecta o roteador pela Internet usando uma falha no código de acesso remoto do roteador (Ataque bizarro infecta roteadores Linksys com malware autorreplicante).
Muitas outras variantes de malware de roteador podem ser encontradas pesquisando por “malware de roteador”.

Malware DNS Changer atinge roteadores domésticos

Roteadores domésticos podem ser usados para roubar credenciais de usuários, e a maioria das pessoas ainda não sabe disso. Os bandidos encontraram maneiras de usar o malware alterador do Sistema de Nomes de Domínio (DNS) para transformar o roteador de rede mais discreto em uma ferramenta vital para seus esquemas.

Já sabemos que os roteadores às vezes vêm com configurações de servidor DNS maliciosas. Nesse cenário, o malware é usado para adulterar o roteador e suas configurações de DNS. No caso de os usuários tentarem visitar sites bancários legítimos ou outras páginas definidas pelos bandidos, o malware redirecionaria os usuários para versões maliciosas dessas páginas. Isso permitiria que os cibercriminosos roubassem credenciais de contas de usuários, números PIN, senhas, etc.

Temos visto um número crescente de sites maliciosos relacionados no Brasil (quase 88% de todas as infecções), nos Estados Unidos e no Japão. Esses sites executam um script de navegador que realiza um ataque de força bruta contra o roteador da vítima, a partir da rede interna. Com acesso à interface de administração por meio das credenciais corretas, o script envia uma única solicitação HTTP ao roteador com um endereço IP de servidor DNS malicioso. Assim que a versão maliciosa substituir o endereço IP atual, a infecção estará concluída. Exceto pelos arquivos temporários de navegação, nenhum arquivo é criado na máquina vítima, nenhuma técnica persistente é necessária e nada muda.

As configurações de DNS modificadas significam que os usuários não sabem que estão navegando para clones de sites confiáveis. Os usuários que não alteram as credenciais padrão são altamente vulneráveis a esse tipo de ataque.

FonteMalware DNS Changer atinge roteadores domésticos

Ataque bizarro infecta roteadores Linksys com malware autorreplicante

O ataque começa com uma chamada remota para o Home Network Administration Protocol (HNAP), uma interface que permite aos ISPs e outros gerenciar remotamente roteadores domésticos e de escritório. A função remota é exposta por um servidor Web integrado que escuta comandos enviados pela Internet. Normalmente, exige que o usuário remoto insira uma senha administrativa válida antes de executar comandos, embora bugs anteriores em implementações HNAP tenham deixado os roteadores vulneráveis a ataques. Depois de usar o HNAP para identificar roteadores vulneráveis, o worm explora uma vulnerabilidade de desvio de autenticação em um script CGI. (Ullrich não está identificando o script porque ele permanece sem correção em muitos roteadores mais antigos e ele não quer tornar mais fácil para os invasores atacá-lo.) Ullrich disse que descartou senhas fracas como causa das infecções da Linksys.

FonteAtaque bizarro infecta roteadores Linksys com malware autorreplicante

Answer

Como é possível infectar um roteador?

Existem muitos vetores de infecção possíveis.

Numa dessas infecções, o malware é usado para adulterar o roteador e suas configurações de DNS. Este malware infecta o roteador da rede local (Malware DNS Changer atinge roteadores domésticos).

O malware redirecionaria os usuários para versões maliciosas de páginas. Isso permite que os criminosos roubem credenciais de contas, números PIN, senhas, etc.

Como apontado emoutra resposta, o DNS também pode ser usado para redirecionar solicitações por meio de servidores de anúncios.
Em outra infecção, o malware infecta o roteador pela Internet usando uma falha no código de acesso remoto do roteador (Ataque bizarro infecta roteadores Linksys com malware autorreplicante).
Muitas outras variantes de malware de roteador podem ser encontradas pesquisando por “malware de roteador”.

Malware DNS Changer atinge roteadores domésticos

Roteadores domésticos podem ser usados para roubar credenciais de usuários, e a maioria das pessoas ainda não sabe disso. Os bandidos encontraram maneiras de usar o malware alterador do Sistema de Nomes de Domínio (DNS) para transformar o roteador de rede mais discreto em uma ferramenta vital para seus esquemas.

Já sabemos que os roteadores às vezes vêm com configurações de servidor DNS maliciosas. Nesse cenário, o malware é usado para adulterar o roteador e suas configurações de DNS. No caso de os usuários tentarem visitar sites bancários legítimos ou outras páginas definidas pelos bandidos, o malware redirecionaria os usuários para versões maliciosas dessas páginas. Isso permitiria que os cibercriminosos roubassem credenciais de contas de usuários, números PIN, senhas, etc.

Temos visto um número crescente de sites maliciosos relacionados no Brasil (quase 88% de todas as infecções), nos Estados Unidos e no Japão. Esses sites executam um script de navegador que realiza um ataque de força bruta contra o roteador da vítima, a partir da rede interna. Com acesso à interface de administração por meio das credenciais corretas, o script envia uma única solicitação HTTP ao roteador com um endereço IP de servidor DNS malicioso. Assim que a versão maliciosa substituir o endereço IP atual, a infecção estará concluída. Exceto pelos arquivos temporários de navegação, nenhum arquivo é criado na máquina vítima, nenhuma técnica persistente é necessária e nada muda.

As configurações de DNS modificadas significam que os usuários não sabem que estão navegando para clones de sites confiáveis. Os usuários que não alteram as credenciais padrão são altamente vulneráveis a esse tipo de ataque.

FonteMalware DNS Changer atinge roteadores domésticos

Ataque bizarro infecta roteadores Linksys com malware autorreplicante

O ataque começa com uma chamada remota para o Home Network Administration Protocol (HNAP), uma interface que permite aos ISPs e outros gerenciar remotamente roteadores domésticos e de escritório. A função remota é exposta por um servidor Web integrado que escuta comandos enviados pela Internet. Normalmente, exige que o usuário remoto insira uma senha administrativa válida antes de executar comandos, embora bugs anteriores em implementações HNAP tenham deixado os roteadores vulneráveis a ataques. Depois de usar o HNAP para identificar roteadores vulneráveis, o worm explora uma vulnerabilidade de desvio de autenticação em um script CGI. (Ullrich não está identificando o script porque ele permanece sem correção em muitos roteadores mais antigos e ele não quer tornar mais fácil para os invasores atacá-lo.) Ullrich disse que descartou senhas fracas como causa das infecções da Linksys.

FonteAtaque bizarro infecta roteadores Linksys com malware autorreplicante

Question 2

Na verdade, não é uma infecção no sentido tradicional. Em vez disso, ele apenas altera as configurações de DNS do seu roteador para que as solicitações sejam feitas a servidores DNS especiais. Esses servidores são configurados para redirecioná-lo para sites falsos e/ou versões de sites reais infectadas por malware.

Por exemplo, eles poderiam criar uma cópia do site do seu banco. Na próxima vez que você tentar acessar o banco on-line, eles poderão obter suas credenciais e, dependendo da segurança do site do seu banco, até roubar seu dinheiro.

Answer

Na verdade, não é uma infecção no sentido tradicional. Em vez disso, ele apenas altera as configurações de DNS do seu roteador para que as solicitações sejam feitas a servidores DNS especiais. Esses servidores são configurados para redirecioná-lo para sites falsos e/ou versões de sites reais infectadas por malware.

Por exemplo, eles poderiam criar uma cópia do site do seu banco. Na próxima vez que você tentar acessar o banco on-line, eles poderão obter suas credenciais e, dependendo da segurança do site do seu banco, até roubar seu dinheiro.

Question 3

DanielB não está errado, mas sua pergunta é mais na linha de "como".

Os roteadores normalmente são configurados para não permitir administração remota de fora da sua LAN. Mas eles aceitarão acesso de administração remota de computadores dentro de sua própria LAN.

Seu malwareprovavelmenteusadoseucomputador para acessar as páginas de administração, então o roteador aceitou uma conexão de administração de dentro da LAN. O malware pode ter feito isso inteiramente a partir de uma sessão do navegador, mas é mais provável que ele tenha simplesmente colocado um trojan no seu sistema, que inspecionou o roteador e tentou uma lista de vulnerabilidades conhecidas (como simplesmente usar a senha padrão de fábrica) e, em seguida, fez alterações na configuração. ao DNS para rotear todas as suas solicitações por meio de seus servidores de anúncios, onde eles fazem proxy de todas as suas páginas e injetam código nelas.

Você provavelmente deve fazer uma redefinição de fábrica (verifique o manual, mas geralmente algo como: desligue, pressione e segure o botão de redefinição por 90 segundos enquanto o liga novamente) e depois reconfigure-o. Altere a senha.

Observe que é possível fazer upload de novo firmware dessa maneira, portanto é possível que seja mais do que apenas uma alteração na configuração do usuário.

Você também precisa inspecionar seus computadores em busca de droppers e/ou trojans de programas que simplesmente reeditarão as configurações do roteador.

Answer

DanielB não está errado, mas sua pergunta é mais na linha de "como".

Os roteadores normalmente são configurados para não permitir administração remota de fora da sua LAN. Mas eles aceitarão acesso de administração remota de computadores dentro de sua própria LAN.

Seu malwareprovavelmenteusadoseucomputador para acessar as páginas de administração, então o roteador aceitou uma conexão de administração de dentro da LAN. O malware pode ter feito isso inteiramente a partir de uma sessão do navegador, mas é mais provável que ele tenha simplesmente colocado um trojan no seu sistema, que inspecionou o roteador e tentou uma lista de vulnerabilidades conhecidas (como simplesmente usar a senha padrão de fábrica) e, em seguida, fez alterações na configuração. ao DNS para rotear todas as suas solicitações por meio de seus servidores de anúncios, onde eles fazem proxy de todas as suas páginas e injetam código nelas.

Você provavelmente deve fazer uma redefinição de fábrica (verifique o manual, mas geralmente algo como: desligue, pressione e segure o botão de redefinição por 90 segundos enquanto o liga novamente) e depois reconfigure-o. Altere a senha.

Observe que é possível fazer upload de novo firmware dessa maneira, portanto é possível que seja mais do que apenas uma alteração na configuração do usuário.

Você também precisa inspecionar seus computadores em busca de droppers e/ou trojans de programas que simplesmente reeditarão as configurações do roteador.

Como o malware pode afetar um roteador?

Responder1

Como é possível infectar um roteador?

Malware DNS Changer atinge roteadores domésticos

Ataque bizarro infecta roteadores Linksys com malware autorreplicante

Responder2

Responder3

informação relacionada