[情報] 駭客濫用Google平臺鎖定路由器展開攻擊

看板Broad_Band (寬頻網路)作者hohodiy (hohodiy)時間7年前 (2019/04/08 22:34)推噓5(5推 0噓 2→)

留言7則, 5人參與討論串1/1

駭客先藉由GCP開採使用者家中的路由器，並透過惡意DNS伺服器，將使用者的流量導至惡意網站，受影響的路由器業者包括D-Link、TOTOLINK、Secutech及ARG-W4 資安業者Bad Packets及網路測試業者Ixia最近幾個月相繼偵測到大規模鎖定家用路由器的DNS挾持攻擊，受到波及的路由器品牌涵蓋D-Link、TOTOLINK、Secutech及ARG-W4等品牌，且相關攻擊全是利用Google Cloud Platform（GCP）的資源。 DNS如同網路上的電話號碼簿，可將使用者所輸入的網域名稱直接轉成IP位址，家用路由器上通常會有內建的DNS伺服器，亦允許使用者指定DNS伺服器，當駭客竄改了路由器的 DNS伺服器設定時，就能將使用者的流量導至駭客所掌控的惡意伺服器，也許是為了執行廣告點選詐騙，更多的是進行網釣攻擊以竊取用戶憑證。 Bad Packets率先偵測到3波的DNS挾持攻擊，它們先後出現在去年的12月、今年的2月，以及今年的3月，Ixia緊接著在4月發現新一波的路由器DNS挾持攻擊，駭客先藉由GCP開採使用者家中的路由器，把路由器中的DNS設定改為駭客所掌控的版本，並透過在OVH或GCP上所架設的惡意DNS伺服器，將使用者的流量導至惡意網站。 Ixia發現駭客鎖定了Paypal、Gmail、Uber及Netflix等知名網站，以及巴西的代管服務供應商與巴西金融組織，以惡意DNS伺服器將受害者導至假冒的上述網站並騙取使用者的登入憑證，這些偽造的網站在外觀上與正牌網站一模一樣，但卻採用未加密的HTTP傳輸協定。 Bad Packets認為，相較於其它的競爭對手，GCP似乎更容易遭到濫用，只要具備Google帳號就能以瀏覽器存取Google Cloud Shell，再透過指令使用雲端資源，有鑑於這些虛擬機器的短暫特質，再加上Google對於濫用檢舉的反應並不快，皆使得這類的惡意行為難以防範。不過，Google回應了Ars Technica的詢問，表示正在建立可辨識任何新興威脅的規則，也會偵測並移除那些違反Google服務條款的帳號，或是暫時關閉有疑慮的帳號。安全研究人員則建議使用者應定期更新路由器韌體，或是檢查路由器上的DNS設定是否曾被竄改。 https://ithome.com.tw/news/129819 ------------------------------------------------ 一般企業機關大眾已經離不開網路了，面對駭客層出不窮的攻擊只能自行多加注意，不要貪小便宜，多留意資安訊息吧 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.7.123 ※ 文章網址: https://www.ptt.cc/bbs/Broad_Band/M.1554734073.A.E5A.html