2017年最牛安卓木马Switcher来袭 伪装成百度客户端和WIFI万能钥匙
E安全1月4日讯 卡巴斯基安全研究人员发现一种专门面向Android手机的新型恶意软件包,并将其定名为Switcher。这种恶意软件可对受感染手机接入的任何Wi-Fi网络进行攻击,并尝试获取其所使用之域名服务器的控制权。
根据卡巴斯基威胁研究人员Nikita Buhka发布的博文描述,通过将路由器设备的DNS替换为受攻击者控制的恶意DNS——即DNS劫持行为,这种名为Switcher的恶意软件能够启用各类针对网络的恶意攻击手段,或者阻止任何设备对网络加以使用。
Buchka称该恶意软件“非常特别。相较于攻击Android用户,其转而选择攻击用户进行接入的Wi-Fi网络,或者更确切地说,攻击用于提供网络服务的无线路由器。”
研究人员指出,他们已经发现了两款用于托管Switcher恶意软件的应用:其一被伪装成中文搜索引擎百度的移动客户端;
其二则是一款经过精心伪装的高人气WiFi万能钥匙(WiFiMaster)应用,可用于在用户之间共享Wi-Fi网络信息。
Switcher的感染流程
一旦攻击者利用手机接入Wi-Fi网络,该恶意软件(Buchka将其称为一种木马)即会利用一份预编程且包含25种默认登录名与密码的列表‘在路由器的管理员Web界面中执行密码暴力破解“。
该木马会执行以下具体操作:
1. 获取网络的BSSID,并通知C&C服务器该木马已经在具备此BSSID的网络中得到激活。
2. 尝试获取ISP(即互联网服务供应商)名称并利用此名称确定可利用哪台流氓DNS服务器实现DNS劫持。其可利用三台潜在DNS服务器,分别为101.200.147.153、112.33.13.11与120.76.249.59。101.200.147.153作为默认选项,另外两台则用于匹配特定ISP。
3. 利用以下预定义登录与密码词典进行暴力破解:
admin:00000000
admin:admin
admin:123456
admin:12345678
admin:123456789
admin:1234567890
admin:66668888
admin:1111111
admin:88888888
admin:666666
admin:87654321
admin:147258369
admin:987654321
admin:66666666
admin:112233
admin:888888
admin:000000
admin:5201314
admin:789456123
admin:123123
admin:789456123
admin:0123456789
admin:123456789a
admin:11223344
admin:123123123该木马会获取默认网关地址,而后尝试在内置浏览器中对其进行访问。在JavaScript的帮助下,其将尝试利用不同登录名与密码组合进行登入。根据该木马尝试访问的硬编码输入字段名称与HTML文件结构,相关JavaScript代码仅适用于操作TP-LINK Wi-Fi路由器的Web界面。
4.如果访问管理员界面的尝试成功实现,则该木马会导航至WAM设置选项并利用网络犯罪分子控制的流氓DNS作为主DNS服务器,而8.8.8.8则作为辅助DNS(即谷歌DNS,用以确保流氓DNS停止运行时的稳定性)。执行这些操作的代码内容非常混乱,因为其设计目标在于适用于广泛的路由器机型并以异步模式工作。不过研究院将通过Web界面中的屏幕截图演示其代码执行过程与工作原理。
5. 如果DNS地址被成功篡改,那么该木马会向C&C服务器报告成功消息。
“如果攻击成功,该恶意软件会在路由器设置中变更DNS服务器地址,从而将受攻击Wi-Fi网络中来自各设备的全部DNS查询路由至网络犯罪分子的服务器处。”
DNS是一套能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串的系统,其能够将google.com等直观网址翻译为由数字组成的实际地址,从而帮助计算机抵达互联网上的正确位置。一般来讲,其工作原理如下所示:
DNS系统工作原理示意图(来源:卡巴斯基实验室)
但在Switcher清空路由器内用于查找DNS的代码时,其会将各查询请求转发至由攻击方控制的恶意服务器处,这一流程的具体实施方式如下:
DNS支持原理示意图(来源:卡巴斯基实验室)
受害路由器将被引导至另一完全不同的互联网地址,并被迫将接入该网络的全部设备一并路由至该地址。
该目标地址可能是欲访问网站的假冒版本,其会保存用户输入的所有密码/登录名并将其发送给攻击者,“或者其只是一个随机网站,其中包含大量弹窗广告与恶意软件等,”Buchka在博文中写道。“攻击者几乎能够完全控制……所有网络流量。”
DNS劫持并非什么新鲜事物,但以这样的方式实现DNS劫持却非常少见。
根据Buchka提供的统计数据显示,粗心的黑客在其命令与控制服务器的开放区域留下了感染计数器,根据结果来看其截至去年12月28号已经感染了1280套Wi-Fi网络。
Buchka在博文中写道,“此类路由器篡改行为带来的主要威胁在于,即使重新启动路由器,恶意设置仍将继续存在,且很难发现DNS已经遭到劫持。”
应对建议
Trojan.AndroidOS.Switcher恶意软件并不会直接攻击用户。相反,其将矛头指向用户使用的整体网络,意味着该网络环境下的全部用户都交面临威胁——从网络钓鱼到二次感染皆可能发生。这种路由器设置篡改活动的最大风险在于,即使重新启动路由器,恶意设置也仍然存在,因此用户很难发现DNS被劫持的状况。另外即使恶意DNS服务器被阶段性禁用,由于设置了8.8.8.8作为辅助DNS,用户及/或IT部门往往仍然意识不到问题的存在。
我们建议每一位用户检查自己的DNS设置并与以下流氓DNS服务器进行比对:
101.200.147.153
112.33.13.11
120.76.249.59
如果您的DNS设置中包含其中某一或某些服务器,请与您的ISP运营商联系或警告Wi-Fi网络拥有者。卡巴斯基实验室还强烈建议用户对路由器管理员Web界面中的登录名及密码进行变更,从而预防可能发生的此类攻击行为。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。