网络钓鱼即服务作使用 DNS-over-HTTPS 进行规避
HackerNews 编译,转载请注明出处: 一家名为Morphing Meerkat的网络钓鱼即服务(PhaaS)运营平台近日被安全研究人员发现。该平台利用DNS over HTTPS(DoH)协议逃避检测,并通过DNS邮件交换(MX)记录识别受害者的电子邮件提供商,动态生成超过114个品牌的仿冒登录页面。 大规模网络钓鱼行动 Morphing Meerkat自2020年起活跃,由Infoblox的安全研究人员首次揭示。尽管部分活动曾被记录,但该平台在过去几年中大多未被察觉。 作为一款完整的PhaaS工具包,Morphing Meerkat为技术能力有限的攻击者提供了一站式的网络钓鱼攻击解决方案。它拥有集中化的SMTP基础设施,用于发送垃圾邮件。其中50%的邮件来源于英国的iomart和美国的HostPapa提供的互联网服务。 该平台能够模拟包括Gmail、Outlook、Yahoo、DHL、Maersk和RakBank等在内的114家电子邮件和服务提供商,发送带有类似“需要采取行动:账户停用”等紧急主题的邮件。这些邮件支持多种语言,包括英语、西班牙语、俄语和中文,且能够伪造发件人姓名和地址。 攻击流程 当受害者点击邮件中的恶意链接时,他们会经历一系列开放重定向攻击。这些重定向通常通过广告技术平台(如Google DoubleClick)执行,并涉及受感染的WordPress网站、伪造的域名和免费托管服务。 最终,钓鱼工具包会在受害者的浏览器中加载,同时利用DoH向Google或Cloudflare发送DNS查询以获取受害者电子邮件域名的MX记录。根据查询结果,工具包会动态生成伪造的登录页面,并自动填充受害者的电子邮件地址。 一旦受害者输入凭据,数据会通过AJAX请求和PHP脚本发送到攻击者的外部服务器。此外,攻击者还可能使用Telegram机器人webhook进行实时转发。为了验证凭据的准确性,受害者首次输入密码后会收到一条错误信息提示密码无效,诱导其再次输入。 输入成功后,受害者会被重定向至真实的身份验证页面,以减少怀疑。 使用DoH与DNS MX的隐蔽性 Morphing Meerkat的独特之处在于采用DoH和DNS MX记录,这些高级技术使攻击更具隐蔽性。 DoH通过加密的HTTPS请求执行DNS解析,替代传统的基于UDP的DNS查询,从而绕过DNS监控。MX记录则用于指示哪个服务器负责接收特定域的电子邮件。攻击者通过客户端直接查询Cloudflare或Google获取MX记录信息,从而避免被检测。 利用MX记录信息,钓鱼工具包能够实时生成与受害者邮箱提供商匹配的仿冒页面,提升攻击的成功率。 防御建议 Infoblox建议企业实施更严格的DNS控制,阻止用户直接与DoH服务器通信。此外,还应限制用户访问与企业业务无关的广告技术和文件共享基础设施,以降低攻击风险。 与Morphing Meerkat相关的所有攻击指标(IoC)已公开发布在GitHub存储库中,供安全研究人员进一步分析。 消息来源:Bleeping Computer 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
新型恶意软件 DecoyDog 正大规模入侵DNS
安全厂商 Infoblox 的调查研究显示,一个名为 DecoyDog(诱饵狗)的复杂恶意工具包通过域名系统(DNS),从事网络间谍活动已达1年以上。 目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操作。由于观察到的范围仅限于俄罗斯和东欧地区,似乎该活动与俄乌战争有关。 Decoy Dog仍在活跃 虽然 Infoblox 只分析了 DecoyDog 的 DNS 和网络流量,但由于它基于 Pupy,因此它很可能是在受感染的设备上下载恶意软件负载并执行攻击者发送的命令。 4 月初,Infoblox 专家在6个存在异常 DNS 信标活动的域中发现了DecoyDog,这些域充当该恶意软件的命令和控制 (C2) 服务器: cbox4[.]ignorelist[.]com claudfront[.]net hsdps[.]cc ads-tm-glb[.]click atlas-upd[.]com allowlisted[.]net 当时,研究人员表示,他们发现企业网络中出现了相同的 DNS 查询模式,无法与消费设备联系起来,并 确认查询源自数量非常有限的客户网络中的设备。 在 Infoblox 宣布发现并发布技术分析报告后,DecoyDog并没有停止活动,分析报告显示,DecoyDog 在很大程度上是基于 Pupy 开源漏洞后远程访问木马(RAT)。最新的报告表明,DecoyDog是 Pupy 的重大升级,使用了公共存储库中没有的命令和配置。具体观察到的差异包括: 使用 Python 3.8,而 Pupy 是用 Python 2.7 编写的; 许多改进,包括 Windows 兼容性和更好的内存操作; 通过添加多个通信模块显着扩展了 Pupy 中的通信词汇量; 会响应先前 DNS 查询的重播,而 Pupy 则不会; 能响应通配符 DNS 请求,使被动 DNS 中的解析数量增加了一倍; 能响应与客户端有效通信结构不匹配的 DNS 请求; 能将任意 Java 代码注入 JVM 线程来增加运行任意 Java 代码的能力,并添加在受害设备上维持持久性的方法。 Infoblox 威胁情报主管 Renée Burton 透露,目前DecoyDog 域名服务器、控制器和域的数量已超过20个。 DecoyDog控制器列表 目标明确的恶意软件 根据被动 DNS 流量分析,很难确定DecoyDog客户端的准确数量,这将表明受影响设备的数量,但 Infoblox 在任何一个控制器上观察到的最大活跃并发连接数不到 50 个,最小的只有 4 个。Burton预估,目前被入侵设备的数量仅有几百台,表明目标非常小,是典型的情报行动。 在Infoblox披露DecoyDog后,该恶意软件开始增加地理围栏机制,限制控制器域对来自特定地区 IP 地址的 DNS 查询响应。 Infoblox发现其中一些服务器只有通过俄罗斯 IP 地址DNS 查询时才会响应,而其他服务器则会响应来自任何地点的任何格式良好的查询。这可能意味着受害者位于俄罗斯,但攻击者也可能选择将受害者流量路由到该地区作为诱饵或将查询限制为相关查询。Burton 倾向于前者,认为DecoyDog 的行为类似于 Pupy,并使用默认的递归解析器连接到 DNS。由于在现代网络中改变这一系统相当具有挑战性,因此这些受害者很可能在俄罗斯或邻近国家(也可能通过俄罗斯路由数据)。 TTP 指向多个参与者 Infoblox 根据观察到的战术、技术和程序 (TTP) 来区分操作DecoyDog的4个参与者。然而,他们似乎都会响应与DecoyDog或 Pupy 格式匹配正确的查询。 Burton指出,这种奇怪的行为可能是有意为之,但即使作为密码学家、情报人员和数据科学家,拥有丰富的经验,她也无法归结清楚具体的原因。如果有多个 DecoyDog参与者的理论属实,那么可能有两个参与者用新功能对其进行了改进。 根据 Burton 的说法,4个参与者中有一个拥有公共存储库中最先进的 DecoyDog 版本 ,其客户端连接到控制器 claudfront[.]net。该参与者中的另一个控制器为maxpatrol[.]net,但没有观察到连接行为,这可能与 Positive Technologies 的漏洞和合规管理系统类似。Positive Technologies 是一家俄罗斯网络安全公司,因贩卖国家支持的黑客组织使用的黑客工具和漏洞利用程序在 2021 年受到美国制裁。 Infoblox 指出,DecoyDog的新版本附带了域名生成算法 (DGA)充当紧急模块,如果恶意软件长时间无法与其 C2 服务器通信,则允许受感染的计算机使用第三方 DNS 服务器。从第三个版本开始,DecoyDog提供了广泛的持久性机制,表明其目的是以窃取情报为主,而非出于经济动机或者是红队工具。 DecoyDog尚存诸多疑点 目前,DecoyDog仍然比较神秘,需要进行额外的研究来确定目标、初始入侵方法(例如供应链、已知漏洞、目标设备中的零日漏洞)以及是如何进入网络的。 尽管 Infoblox 得到了信息安全社区(来自主要英特尔供应商、政府机构、威胁研究小组和金融组织)的支持,但该恶意软件的检测结果或其全部范围尚未公开披露。 Infoblox 建议防御者注意,Decoy Dog 和 Pupy 中的 IP 地址代表加密数据,而不是用于通信的真实地址,并关注 DNS 查询和响应,因为它们可以帮助跟踪恶意软件活动。 该公司还创建了一条 YARA 规则,可以检测研究人员自 7 月以来观察到的 DecoyDog 样本,并与公共版本的 Pupy进行区分。 转自Freebuf,原文链接:https://www.freebuf.com/news/373187.html 封面来源于网络,如有侵权请联系删除
DNS 曝高危漏洞,影响数百万物联网设备
近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。 通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。 目前,uClibc库被广泛应用于各大厂商,包括Linksys、Netgear和Axis,或嵌入式Gentoo等Linux发行版。安全专家尚未透露该漏洞的细节,因为供应商暂时没有解决该问题。 Nozomi的研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。他们从Wireshark 的输出中确定执行DNS请求的模式,事务ID首先是递增的,然后重置为0x2值,然后再次递增。请求的事务ID是可预测的,这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。 研究人员分析了可执行文件,发现创建DNS请求的问题出现在C标准库uClibc 的0.9.33.2版本。 Nozomi报告中写到,研究人员通过源代码审查发现,uClibc库通过调用位于源文件“/libc/inet/resolv.c”中的内部“__dns_lookup”函数来实现DNS请求。鉴于交易ID的可预测性,攻击者想要利用该漏洞,就需要制作包含正确源端口的DNS响应,并赢得来自DNS服务器的合法DNS响应的竞争。由于该函数不应用任何显式源端口随机化,如果操作系统配置为使用固定或可预测的源端口,则很可能以可靠的方式轻松利用该问题。 如果操作系统使用源端口的随机化,则利用该问题的唯一方法是通过发送多个DNS响应,暴力破解16位源端口值,同时赢得与合法响应的竞争。 最后,Nozomi报告总结道,截止该报告发布时,该漏洞仍未修复。开发者似乎无法修复该漏洞,自2022年1月以来,CERT/CC 向200多家受邀参与VINCE案例的供应商披露了该漏洞,并在公开发布前30天通知他们。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332069.html 封面来源于网络,如有侵权请联系删除
黑客可以利用管理 DNS 服务供应商的漏洞来监视公司和组织的内部流量
据《The Hacker News》报道,一种出现在DNSaaS(DNS即服务)的一类新漏洞可被黑客用来获取企业网络的敏感信息。基础设施安全公司Wiz的Ami Luttwak和Shir Tamari宣布,他们发现了一个简单的漏洞,允许拦截所有通过Google和亚马逊等管理的DNS供应商的互联网流量中的一部分动态DNS流量。 他们进一步解释说,暴露的流量为威胁者提供了他们发动成功攻击所需的所有信息。令人不安的是,这使任何人都有能力看到公司和政府组织内部正在发生的事情。在某种程度上,它相当于国家级别的间谍活动能力,而且这些数据就像注册一个域名一样容易获得。 研究人员说:”我们能够获取到的动态DNS流量来自15000多个组织,包括财富500强企业、45个美国政府机构和85个国际政府机构,这些数据包括大量有价值的情报,如内部和外部IP地址、计算机名称、员工姓名和办公地点。” 在Google云DNS或处理DNS解析服务的亚马逊Route53上进行的域名注册,创造了一个有效消除用户间的隔离并允许访问宝贵信息的场景。因此,如果一个组织在Route53平台上使用AWS名称服务器配置了一个新的域名,在托管区,他们将新的域名与内部网络相关联后,所有公司终端的动态DNS流量都可以被具有相同名称的欺诈性服务器所访问到。 幸运的是,由于Wiz Research团队开发了一个识别DNS信息泄漏的工具,这些漏洞已经被修补。简而言之,该工具发现了可以利用的DNS漏洞,以确定未经授权的内部DDNS更新是否被泄露给了DNS供应商或恶意行为者。 您可以在这里测试并了解更多细节: https://dynamic-dns-checker.tools.wiz.io/ (消息及封面来源:cnBeta)
微软警告 Windows DNS 服务器存在重大漏洞 如不重视可能形成蠕虫攻击
微软警告称,该公司将一个17年前的Windows DNS服务器关键漏洞列为 “可蠕虫”。这样的漏洞可能允许攻击者创建特殊的恶意软件,在Windows服务器上远程执行代码,并创建恶意的DNS查询,甚至最终可能导致企业和关键部门的基础设施被入侵。 访问MSRC报告: https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/ “蠕虫漏洞有可能在没有用户交互的情况下,通过恶意软件在易受攻击的计算机之间传播,”微软首席安全项目经理Mechele Gruhn解释说。”Windows DNS服务器是一个核心网络组件。虽然目前还不知道这个漏洞是否被用于主动攻击,但客户必须尽快应用Windows更新来解决这个漏洞。” Check Point的研究人员发现了Windows DNS的安全漏洞,并在5月份向微软报告。如果不打补丁,就会使Windows服务器容易受到攻击,不过微软指出,目前还没有发现这个缺陷被利用的证据。 今天,在所有被支持的Windows Server版本中都提供了修复该漏洞的补丁,但系统管理员必须在恶意行为者根据该漏洞制造恶意软件之前,尽快给服务器打上补丁。 “DNS服务器漏洞是一件非常严重的事情,”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织,无论大小,如果不打补丁,都会面临重大安全风险,最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上;既然我们能够发现这个漏洞,那么别人也已经发现了这个漏洞也不是不可能。” Windows 10和其他客户端版本的Windows不受该漏洞的影响,因为它只影响微软的Windows DNS Server实现。微软还发布了一个基于注册表的工作方法,以防止管理员无法快速修补服务器时紧急处理缺陷。 微软在通用漏洞评分系统(CVSS)上给出了10分的最高风险分,强调了问题的严重性。作为对比,WannaCry攻击所使用的漏洞在CVSS上的评分为8.5分。 (稿源:cnBeta,封面源自网络。)
Mozilla 表示美国 ISP 向国会撒谎 散布有关 DNS 加密的不实信息
Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示,互联网提供商反对浏览器DNS加密这一隐私功能,这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示,互联网提供商一直在向立法者提供不准确的信息,并敦促国会公开调查当前ISP数据收集和使用政策。 基于HTTPS的DNS有助于防止窥视者看到用户浏览器正在进行的DNS查找。这会使ISP或其他第三方更加难以监控用户访问的网站。Mozilla信任与安全机构高级总监Marshall Erwin表示,毫无疑问,我们在DoH [基于HTTPS的DNS]上的工作促使ISP发起了一场运动,以阻止所有这些隐私和安全保护功能实施。 宽带行业声称,谷歌计划自动将Chrome用户切换到自己的DNS服务,但是Google公开宣布的计划是检查用户当前的DNS提供商是否在兼容DoH提供商列表中,如果用户选择的DNS服务不在该列表中,则Chrome不会对该用户进行任何更改。 而Mozilla实际上计划在默认情况下将Firefox用户切换到其他DNS提供商,特别是Cloudflare的加密DNS服务。但是,由于Firefox的市场份额较小,因此与Chrome相比,ISP显然不太关心Firefox。 Mozilla在致国会的信中说,ISP对加密DNS进行游说相当于电信协会明确主张ISP必须有能力收集用户数据并从中获利。目前,美国ISP对用户数据滥用包括在未经用户了解或未获得有效同意的情况下,向第三方出售实时位置数据,诸如Comcast之类的ISP、操纵DNS为消费者提供广告,Verizon使用超级Cookie来跟踪用户的Internet活动,AT&T每月向客户收取29美元的额外费用,以避免AT&T收集用户浏览历史记录并且从中获利。 (稿源:cnBeta,封面源自网络。)
防御 DNS 攻击成本报告:机构 2018 年平均损失 71.5 万美元
根据研究公司 Coleman Parkes 从全球 1000 家机构采样得来的数据,2018 年间,77% 的机构遭受了至少一次基于 DNS 的网络攻击。调查采样的企业,涵盖了活跃于通信、教育、金融、医疗保健、服务、运输、制造、公共、以及零售事业的组织机构。在全球范围五大基于 DNS 的攻击中,恶意软件和网络钓鱼占据了榜单前二的位置;而域名锁定、DNS 隧道与 DDoS 攻击,也造成了极大的影响。 2017~2018 年间,DNS 攻击导致的损失,已增加 57% 。 EfficientIP 在《2018 DNS 威胁报告》中写到:“思科 2016 安全报告发现,91% 的恶意软件利用了解析服务(DNS)。它们壳借助 DNS 这个载体(DoS 放大或 CnC 服务器通信),对目标、甚至 DNS 服务器发起攻击”。 2017 年的时候,网络钓鱼甚至不是最常遇到的五种基于 DNS 的攻击类型。但 2018 年间,欺诈者已经大量通过定向和定制活动,来提升针对特定行业部门的网络钓鱼受害率。 通过分析调查期间收集到的数据,Coleman Parkes 发现:不法分子已将基于 DNS 的攻击,作为一种相当有效的工具,可对其行业目标造成广泛的品牌和财务损失、产生短期和长期的影响。 受 DNS 攻击所影响的组织,平均损失较上一年增加约 57% —— 从 2017 年的 45.6 万美元,到了 2018 年的 71.5 万美元 —— 这一点尤其令人感到不安。 考虑到所有因素,虽然 DNS 攻击从一个行业部门、转到另一个行业部门的影响差异很大。但对所有组织机构来说,部署恰当的 DNS 攻击检测和防护措施,仍然是至关重要的。 稿源:cnBeta,封面源自网络;
Mozilla:云端 DOH 比传统 DNS 更安全 性能差别不大
Mozilla 今年 3 月时,在 Firefox Nightly 版本进行了 DOH(DNS Over HTTPS)与传统 DNS 的比较实验,探讨后者是否能被前者取代,结果显示虽然 DOH 服务平均比传统 DNS 慢6毫秒,但是相比之下,DOH 不止服务更安全,而且在极端情况下,甚至能比传统 DNS 的回应还快几百毫秒。 现在的浏览器用户依赖不够安全的传统 DNS 协议来访问目标网站,可能面临被追踪(Tracking)或是欺骗(Spoofing)等风险。Mozilla 引用了 2018 年 Usenix 安全研讨会的论文,研究显示 DNS 服务现在正受到严重的干扰,而且面临各种资料收集的隐私威胁。Firefox 开发了 DOH 技术,让浏览器从一个或多个可信任的服务中获取 DNS 信息,以提供高安全与高隐私的 DNS 服务。 由于以可信任的 DOH 云端服务取代传统 DNS 是一个剧烈的改变,在选择 DOH 服务器时需要考虑很多因素,因此 Mozilla 对此展开了测试,主要想了解两个问题,第一个,使用 DOH 是否能取代传统 DNS?第二个,使用 DOH 是否会出现额外的连接错误?在 7 月的时候有约 25000 名 Firefox Nightly 63 使用者参与了 Cloudflare 与 Mozilla 共同举行的测试,测试总共收集到了超过十亿条的 DOH 数据,目前测试已结束。 结果显示,与传统 DNS 相比,和云端服务供应商合作使用 HTTPS 发出 DNS 请求,在无缓存的 DNS 查询上,性能影响很小,大多数的查询只慢了约 6 毫秒,但从权衡安全性和保护隐私数据的角度出发,这是可以被接受的成本。而且在某些情况下,甚至能比传统 DNS 还快几百毫秒。 另外,这个测试除了解性能方面的影响,还考虑了连接错误率,在软故障(Soft-fail)模式下使用 DOH 云端服务的用户,和传统 DNS 用户相比,错误连接率并没有明显差异。软故障模式主要使用 DOH,当域名无法正确解析或是 DOH 提供的地址连接失败时,便退回使用传统 DNS。 Mozilla 提到,他们正努力于创造一个可信任的 DOH 供应商生态,以满足较高标准的数据处理需求,后续会在一组供应商中或是依照地理位置划分 DNS 传输,这项试验可能会在不久之后进行。 稿源:开源中国,封面源自网络;
DNS 劫持恶意软件 Roaming Mantis 升级,针对全球 iOS、Android 和桌面用户
据外媒报道, 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器,目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。而目前根据卡巴斯基实验室的安全研究人员的说法,通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本,Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外,尽管最初的袭击旨在针对来自东南亚的用户 ,但目前该新活动已经演变到支持 27 种语言,以扩大在欧洲和中东地区的业务范围。 与之前的版本类似,新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发,攻击者更改无线路由器的 DNS 设置,将流量重定向到由他们控制的恶意网站。因此,当用户试图通过一个被破坏的路由器访问任何网站时,他们都会被重定向到恶意网站,这些网站可用于:提供 Android 用户虚假银行恶意软件;提供 iOS 用户 钓鱼网站;提供桌面用户使用加密货币挖掘脚本的站点。 为了保护免受此类恶意软件的侵害,安全研究人员给出了以下建议: “建议您确保您的路由器运行最新版本的固件并使用强密码保护; 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名,将用户重定向到恶意下载文件,所以建议您在访问站点前确保其启用了 HTTPS; 您还应该禁用路由器的远程管理功能,并将可信的 DNS 服务器硬编码到操作系统网络设置中; 建议 Android 用户从官方商店安装应用程序,并设置禁用安装未知来源的应用程序; 检查您的 Wi-Fi 路由器是否已被入侵,查看您的 DNS 设置并检查 DNS 服务器地址,如果它与您的提供商发布的不符,请将其修正,并立即更改所有帐户密码。” 卡巴斯基实验室分析报告: 《Roaming Mantis dabbles in mining and phishing multilingually》 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机
卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间,研究人员在超过 150 个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们稍微进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户,日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的 URL 地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装,这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”,其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接,表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说:“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现,而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机,我们需要提高用户的防范意识,让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段,表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染,卡巴斯基实验室建议采取以下措施: ● 请参阅您的路由器的使用说明,确保您的 DNS 设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源:比特网,封面源自网络;