DNSChanger - kenkėjiškos programos, nukreipiančios jūsų maršrutizatorius per žiniatinklio naršyklę
Kenkėjiškos programos, nukreiptos į kompiuterius, yra gana įprastos, tačiau kenkėjiškų programų, kurios skirtos maršrutizatoriams yra visiškai kitoks dalykas. Mokslininkai iš saugumo įmonės „Proofpoint“ atrado, kad jo veikimo būdas yra panašus į neseniai įvykusį būdą atrado Stegano kenkėjišką programą.
Kenkėjiška programa vadinama DNSChanger, ir jis plinta per kenkėjiškų programų pririšami skelbimai kuriuos aptarnauja dideli skelbimų tinklai. Pirmiausia DNSChanger patikrinkite lankytojo IP adresą, kad pamatytumėte, ar jis yra diapazone. Jei adresas nepatenka į tikslinį diapazoną, DNSChanger bus sukurti švarius skelbimus.
Kita vertus, jei adresas patenka į diapazoną, kenkėjiškos programos bus skelbti suklastotą skelbimą, kuris slepia metaduomenų kodą PNG vaizdo.
Kai kenkėjiškas kodas sugeba nukreipti kelią į tikslinį kompiuterį, jis sukelia tikslą prisijungti prie puslapio, kuriame yra DNSChanger. Svetainė atliks dar vieną nuskaitymą, kad užtikrintų, jog tikslo IP adresas yra tiksliniame diapazone, ir patvirtinus šią svetainę rodyti antrą vaizdą, kuriame yra išnaudojimo kodas.
Kas nutinka toliau, priklauso nuo maršrutizatoriaus modelio, kurį DNSChanger užpuolė. Jei maršrutizatoriaus modelis turi žinomus išnaudojimus, DNSChanger bus naudoti šiuos išnaudojimus, norėdami pakeisti DNS įrašus maršrutizatoriuje. Kai įmanoma, padaryti administravimo uostus prieinamus iš išorinių adresų.
Jei maršrutizatorius turi jokių žinomų išnaudojimų, DNSChanger bandys naudoti numatytuosius kredencialus prieiti prie maršrutizatoriaus. Jei maršrutizatorius turi jokių žinomų išnaudojimų ir nežinomų slaptažodžių, tada kenkėjiškos programos bus atsisakyti atakos.
Darant prielaidą, kad ji sugeba pasiekti maršrutizatorių, DNSChanger gali priversti prijungtus kompiuterius prisijungti prie nepageidaujamų svetainių vizualiai identiški realiam.
„Proofpoint“ nustatė, kad kenkėjiškos programos yra IP adresų klastojimas siekiant nukreipti srautą iš skelbimų agentūrų už reklaminius tinklus, žinomus kaip Fogzy ir TrafficBroker.
Šiuo metu „Proofpoint“ paminėjo, kad tai yra neįmanoma nurodyti visų maršrutizatorių, kurie yra jautrūs DNSChanger. Tačiau „Proofpoint“ informavo penkis maršrutizatorių modelius, kuriuos gali pažeisti ši kenkėjiška programa.
Siekiant apsaugoti save nuo DNSChanger, „Proofpoint“ rekomendavo jūsų maršrutizatoriai yra atnaujinami pagal naujausią prieinamą programinę įrangą ir yra apsaugotas su ilgai, atsitiktinai sukurtas slaptažodis. Be to, išjungti nuotolinį administravimą ir pakeisti maršrutizatoriaus numatytąjį vietinį IP adresą yra veiksminga prevencinė priemonė.