[25] 某“伪色播”病毒app的扣费统计后台
[26] 某“伪色播”病毒app扣费通道的数据存储服务器
3.DNS劫持
路由器作为亿万用户网络接入的基础设备,其安全的重要性不言而喻。最近两年曝光的路由器漏洞、后门等案例比比皆是,主流路由器品牌基本上无一漏网。虽然部分厂商发布了修复补丁固件,但是普通用户很少会主动去更新升级路由器系统,所以路由器漏洞危害的持续性要远高于普通PC平台;另一方面,针对路由器的安全防护也一直是传统安全软件的空白点,用户路由器一旦中招往往无法察觉。
国内外针对路由器的攻击事件最近两年也非常频繁,我们目前发现的攻击方式主要分为两大类,一类是利用漏洞或后门获取路由器系统权限后种植僵尸木马,一般以ddos木马居多,还兼容路由器常见的arm、mips等嵌入式平台;另一类是获取路由器管理权限后篡改默认的DNS服务器设置,通过DNS劫持用户流量,一般用于广告刷量、钓鱼攻击等。
[27] 兼容多平台的路由器DDOS木马样本
下面这个案例是我们近期发现的一个非常典型的dns劫持案例,劫持者通过路由器漏洞劫持用户DNS,在用户网页中注入JS劫持代码,实现导航劫持、电商广告劫持、流量暗刷等。从劫持代码中还发现了针对d-link、tp-link、zte等品牌路由器的攻击代码,利用CSRF漏洞篡改路由器DNS设置。
标签:
