Как вредоносное ПО может повлиять на маршрутизатор?

Как можно заразить маршрутизатор?

Существует множество возможных векторов заражения.

• В одном из таких заражений вредоносное ПО используется для вмешательства в маршрутизатор и его настройки DNS. Это вредоносное ПО заражает маршрутизатор из локальной сети (Вредоносное ПО DNS Changer нацелилось на домашние маршрутизаторы).

  Вредоносное ПО перенаправляет пользователей на вредоносные версии страниц. Это позволяет преступникам красть учетные данные, PIN-коды, пароли и т. д.

  Как указано вдругой ответDNS также можно использовать для перенаправления запросов через рекламные серверы.

• В другом случае вредоносное ПО заражает маршрутизатор из Интернета, используя уязвимость в коде удаленного доступа к маршрутизатору (Странная атака заражает маршрутизаторы Linksys самовоспроизводящимся вредоносным ПО).

• Многие другие варианты вредоносного ПО для маршрутизаторов можно найти, выполнив поиск по запросу «вредоносное ПО для маршрутизаторов».

---

Вредоносное ПО DNS Changer нацелилось на домашние маршрутизаторы

Домашние маршрутизаторы могут использоваться для кражи учетных данных пользователей, и большинство людей просто еще не знают об этом. Злодеи нашли способы использовать вредоносное ПО для изменения доменных имен (DNS), чтобы превратить самый незаметный сетевой маршрутизатор в важный инструмент для своих схем.

Мы уже знаем, что маршрутизаторы иногда поставляются с вредоносными настройками DNS-сервера. В этом сценарии вредоносное ПО используется для вмешательства в маршрутизатор и его настройки DNS. В случае, если пользователи попытаются посетить легитимные банковские веб-сайты или другие страницы, определенные злоумышленниками, вредоносное ПО перенаправит пользователей на вредоносные версии указанных страниц. Это позволит киберпреступникам украсть учетные данные пользователей, PIN-коды, пароли и т. д.

Мы наблюдали рост числа связанных вредоносных сайтов в Бразилии (почти 88% всех заражений), США и Японии. Эти сайты запускают скрипт браузера, который выполняет атаку методом подбора на маршрутизатор жертвы из внутренней сети. При доступе к интерфейсу администрирования через правильные учетные данные скрипт отправляет один HTTP-запрос на маршрутизатор с вредоносным IP-адресом DNS-сервера. Как только вредоносная версия заменяет текущий IP-адрес, заражение завершается. За исключением временных файлов навигации, на компьютере жертвы не создаются никакие файлы, не требуется никакой постоянной техники, и ничего не меняется.

Измененные настройки DNS означают, что пользователи не знают, что они переходят на клоны доверенных сайтов. Пользователи, которые не меняют учетные данные по умолчанию, очень уязвимы для такого рода атак.

ИсточникВредоносное ПО DNS Changer нацелилось на домашние маршрутизаторы

---

Странная атака заражает маршрутизаторы Linksys самовоспроизводящимся вредоносным ПО

Атака начинается с удаленного вызова протокола администрирования домашней сети (HNAP), интерфейса, который позволяет интернет-провайдерам и другим лицам удаленно управлять домашними и офисными маршрутизаторами. Удаленная функция доступна встроенному веб-серверу, который прослушивает команды, отправляемые через Интернет. Обычно для этого требуется, чтобы удаленный пользователь ввел действительный административный пароль перед выполнением команд, хотя предыдущие ошибки в реализациях HNAP сделали маршрутизаторы уязвимыми для атак. После использования HNAP для определения уязвимых маршрутизаторов червь использует уязвимость обхода аутентификации в скрипте CGI. (Ульрих не идентифицирует скрипт, поскольку он остается неисправленным на многих старых маршрутизаторах, и он не хочет, чтобы злоумышленникам было легче его атаковать.) Ульрих сказал, что он исключил слабые пароли как причину заражения Linksys.

ИсточникСтранная атака заражает маршрутизаторы Linksys самовоспроизводящимся вредоносным ПО

На самом деле это не инфекция в традиционном смысле. Вместо этого он просто изменяет настройки DNS вашего маршрутизатора, чтобы запросы отправлялись на специальные DNS-серверы. Эти серверы настроены на перенаправление вас на поддельные сайты и/или зараженные вредоносным ПО версии настоящих сайтов.

Например, они могут создать копию веб-сайта вашего банка. В следующий раз, когда вы попытаетесь получить доступ к онлайн-банкингу, они могут получить ваши учетные данные и, в зависимости от того, насколько защищен веб-сайт вашего банка, даже украсть ваши деньги.

DanielB не ошибается, но ваш вопрос скорее относится к категории «как».

Маршрутизаторы обычно настроены так, чтобы не допускать удаленного администрирования из-за пределов вашей локальной сети. Но они будут принимать удаленный административный доступ с компьютеров в пределах своей локальной сети.

Ваше вредоносное ПОвероятноиспользовалтвойкомпьютер для доступа к страницам администратора, поэтому маршрутизатор принял административное соединение из локальной сети. Вредоносная программа могла сделать это полностью из сеанса браузера, но более вероятно, что она просто загрузила троян в вашу систему, который затем проверил маршрутизатор и попробовал список известных уязвимостей (например, просто использовать заводской пароль по умолчанию), а затем внес изменения в конфигурацию DNS, чтобы направить все ваши запросы через свои рекламные серверы, где они проксируют все ваши страницы и внедряют в них код.

Вероятно, вам следует сделать полный сброс настроек (проверьте руководство, но обычно это делается так: выключите, нажмите и удерживайте кнопку сброса в течение 90 секунд, а затем включите его снова), а затем перенастройте его. Измените пароль.

Обратите внимание, что таким образом можно загрузить новую прошивку, так что вполне возможно, что это больше, чем просто изменение конфигурации пользователя.

Вам также необходимо проверить свои компьютеры на наличие программ-дропперов и/или троянов, которые просто изменят настройки вашего маршрутизатора.