Novidade——新的漏洞利用工具包

Novidade——新的漏洞利用工具包

研究人员发现了一个名为Novidade 的新的漏洞利用工具包,它通过跨站点请求伪造(CSRF)更改域名系统(DNS)设置来定位家庭或小型办公路由器,并通过Web应用程序对受害者移动设备或桌面进行攻击。一旦DNS设置更改为恶意服务器的设置,攻击者就可以执行域欺骗攻击,通过将目标域解析为其服务器的IP地址重定向连接到同一路由器的所有设备的目标网站流量。

研究人员在2017年8月发现了最早的Novidade样本,之后发现了两种不同的变种。虽然其中一个变种是在GhostDNS活动的DNSChanger系统中发现的,但研究人员认为Novidade不仅仅用于一个活动,因为漏洞攻击工具包也同时用于不同的活动。一种可能性是漏洞利用工具包要么已经卖给了多个组织,要么其源代码已被泄露。无论哪种情况,黑客都可使用该工具包或创建自己的变体。研究人员发现的大多数活动都使用网络钓鱼攻击来检索巴西的银行凭据。但是,研究人员最近发现了没有特定地理位置的活动,这表明攻击者正在扩大目标区域,或者使用该工具包的黑客越来越多。

研究人员将漏洞利用工具包命名为Novidade(葡萄牙语,意为“新颖性”),因为当前所有版本的网页标题都为“Novidade!”。

感染链

Novidade——新的漏洞利用工具包

Novidade感染链

研究人员发现Novidade通过各种方法进行分发,包括恶意广告、受感染网站注入、以及即时通讯工具。一旦受害者接收并点击指向Novidade的链接,登录页面会首先执行JavaScript Image功能生成的几个HTTP请求到预定义的本地IP地址列表,这些IP地址列表主要由路由器使用。如果连接成功,Novidade会查询检测到的IP地址以下载相应的漏洞有效载荷,该载荷编码为Base64。然后,Novidade会随机攻击检测到的IP地址及其所有漏洞。接下来尝试使用一组默认帐户名和密码尝试登录路由器,之后将执行CSRF攻击,以便将原始DNS服务器更改为攻击者的DNS服务器。

Novidade——新的漏洞利用工具包

通过实时消息传递Novidade的示例

如果用户尝试连接到目标银行域,注入的DNS服务器将解析托管虚假银行网站的IP地址。

Novidade——新的漏洞利用工具包

一个工具包,三种变体

研究人员发现了Novidade的三种变体,它们的攻击方法都一样。但是,最新的版本对初始变体做出了改进。早在2017年8月就在野外发现的第一个版本是该漏洞利用工具包的基础版本,在早期活动中被广泛使用。第二个版本具有类似的代码结构,并在运行时添加了JavaScript混淆器,攻击目标不同其登录页面也就不同。GhostDNS的JavaScript子模块是Novidade漏洞利用工具包的第二个版本。第三个变体保留了JavaScript混淆器但改进了登录页面的代码并添加了一个新功能,通过向STUN服务器发出请求来检索受害者的本地IP地址与WebRTC,此技术也被以前的漏洞利用工具包所采用。第三种变体还允许攻击者在其登录页面上嵌入缩短的URL链接,该链接不用于重定向,而是用于跟踪攻击数据。

目前的攻击活动同时使用Novidade的第二版和第三版。

Novidade——新的漏洞利用工具包

Novidade三种变体对比

以下是可能会受影响的路由器型号:

A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)

D-Link DSL-2740R

D-Link DIR 905L

Medialink MWN-WAPR300 (CVE-2015-5996)

Motorola SBG6580

Realtron

Roteador GWR-120

Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)

TP-Link TL-WR340G / TL-WR340GD

TP-Link WR1043ND V1 (CVE-2013-2645)

Novidade广告活动

研究人员发现了一些使用Novidade攻击路由器的广告活动。这些活动中主要针对巴西用户,通过恶意广告攻击分发工具包以窃取银行信息。使用Novidade中嵌入的缩短的URL链接来跟踪统计数据,研究人员发现自3月份以来,最大的广告系列已经分发了2400万次漏洞利用工具包。在9月和10月,研究人员还发现了两个使用不同方式分发Novidade的广告活动。

第一次活动使用有关2018年巴西总统选举的消息作为诱饵,恶意页面为选举候选人的民意调查。受害者在填写问卷调查过程中,Novidade攻击受害者的路由器。问卷调查填完后,受害者需要将该调查网站通过即时通讯工具分享给30人,才能查看调查结果。

一旦路由器受到感染,它就会将DNS服务器更改为144[.]217[.]24[.]233。不幸的是,研究人员无法检查域欺诈攻击中的域名,因为DNS服务器在研究人员分析它时已经被关闭了。

Novidade——新的漏洞利用工具包

研究人员还分析了2018年10月下旬开始的另一场活动,因为研究人员发现了多个被入侵的网站被注入了一个将人们重定向到Novidade的iframe。这一次,受影响的国家不仅仅是巴西一个。一旦受害者访问目标域,他们将看到一个社会工程页面,要求受害者下载并安装软件。由于下载链接不再可用,研究人员无法确认实际下载的软件类型。

Novidade——新的漏洞利用工具包

受感染网站源代码

Novidade——新的漏洞利用工具包

虚假软件下载

建议

要想防御像Novidade这样的漏洞利用工具包,研究人员建议用户始终将其设备的固件升级到最新版本。默认用户名和密码是一种非常常见的漏洞,因此在所有用户帐户上使用强密码也很重要。还建议更改路由器的默认IP地址,以及禁用远程访问功能,以最大程度地降低攻击者外部操作设备的可能性。最后,用户应始终使用安全Web连接(HTTPS)访问敏感网站以防止域欺骗攻击。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133355.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code