DNSChanger(マルウェア)がホームルーターを乗っ取り、ネットワーク内のWindows、Androidを攻撃

今月初めに、いくつかの著名なニュースサイトで表示されているバナー広告のピクセルに悪質なコードを隠す、ステガノと呼ばれる新しいエクスプロイトキットを使った攻撃についてレポートしました。

最近、研究者は、攻撃者がDNSChangerというエクスプロイトキットを使ってオンラインユーザーをターゲットにしていることを発見しました。このエクスプロイトキットは、画像データに悪質なコードを隠している広告を介して、エンドユーザーを攻撃しています。

DNSChangerを覚えていますか? そうです、2012年に世界中の何百万ものコンピュータに感染したマルウェアです。

DNSChangerは、感染したコンピュータのDNSサーバのエントリを、ISPや組織が提供するDNSサーバではなく、攻撃者の管理下にある悪意のあるサーバを指すように変更することによって機能します。

そのため、感染したシステムのユーザーがインターネット上のWebサイト(facebook.comなど)を検索するたびに、悪意のあるDNSサーバーがフィッシングサイトに移動するよう指示します。 攻撃者は、広告を挿入したり、検索結果をリダイレクトしたり、ドライブバイダウンロードのインストールを試みたりすることもできます。

最も懸念されるのは、DNSチェンジャーマルウェアがStegno技術を使って広まっている最近の悪意のあるキャンペーンで、ハッカーが両方の脅威を組み合わせていることです。システムに侵入した後は、PCに感染する代わりにセキュリティで保護されていないルータを制御します。

Proofpointの研究者は、166を超えるルータモデルでこのユニークなDNSChangerエクスプロイトキットを発見しました。 このキットは、マルウェアがブラウザをターゲットにしているのではなく、パッチが適用されていないファームウェアを実行するルータや弱い管理者のパスワードで保護されているルータをターゲットとしているためユニークです。

攻撃の仕組みは次のとおりです。

まず、画像データに悪意のあるコードを隠している主流のウェブサイト上の広告は、被害者をDNSChangerエクスプロイトキットをホストするウェブページにリダイレクトします。 エクスプロイトキットは、セキュリティ保護されていないルータを対象とします。

ルーターが侵害されると、DNSChangerマルウェアは攻撃者によって制御されるDNSサーバーを使用するように構成され、ネットワーク上のほとんどのコンピュータとデバイスが公式ドメインに対応するものではなく悪意のあるサーバーにアクセスします。

悪意のあるJavaScriptコードを含む広告では、Mozilla STUN(NAT用セッショントラバーサルユーティリティ)サーバーへのWebRTCリクエスト(Web通信プロトコル)をトリガーすることで、ユーザーのローカルIPアドレスを明らかにします。

STUNサーバーは、クライアントのIPアドレスとポートを含むping backを送信します。 ターゲットのIPアドレスがターゲット範囲内にある場合、ターゲットはPNG画像のメタデータ内に偽の広告隠蔽エクスプロイトコードを受け取ります。

悪意のあるコードは、訪問者を最終的にDNSChangerをホストするWebページにリダイレクトします。DNSChangerは、WindowsとAndroid用のChromeブラウザを使用して、ルータエクスプロイトコードで隠された2番目の画像を配信します。

Proofpointの研究者は、「この攻撃は、偵察段階で検出された特定のルータモデルによって決まります。」 「既知の攻撃がない場合、攻撃はデフォルトのを使用しようとします。」とブログで述べている。

影響を受けるルーターのリスト

攻撃はトラフィックを隠し、アクセスしたルータと166のフィンガープリントを比較して、ターゲットが脆弱なルータモデルを使用しているかどうかを判断します。 研究者らによると、脆弱なルータには次のようなものがあります。

  • D-Link DSL-2740R
  • NetGear WNDR3400v3 (恐らく、このシリーズの他のモデルも含まれる)
  • Netgear R6200
  • COMTREND ADSL Router CT-5367 C01_R12
  • Pirelli ADSL2/2+ Wireless Router P.DGA4001N

Proofpointは、悪意のある広告に何人の人々が暴露されたか、キャンペーンの実行期間については現時点ではっきりしていないが、キャンペーンの背後にある攻撃者は以前は1日に100万人以上に感染していたという。

Proofpointは、悪意のある広告を表示する広告ネットワークまたはウェブサイトの名前を開示しなかった。

ユーザーは、ルーターが最新バージョンのファームウェアを実行しており、強力なパスワードで保護されていることを確認することをお勧めします。 また、リモート管理を無効にし、デフォルトのローカルIPアドレスを変更し、信頼できるDNSサーバーをオペレーティングシステムのネットワーク設定にハードコードすることもできます。

参照:

https://www.proofpoint.com/us/threat-insight/post/home-routers-under-attack-malvertising-windows-android-devices