我刚刚被 DNS 劫持了吗?

信息安全 dns 路由器
2021-08-23 00:16:48

我今天在我的 Macbook 上上网,注意到我的 iTunes 抱怨它无法连接到 Apple,我尝试注销并登录我的帐户,但奇怪的是它说它无法登录;一开始我并没有想太多,因为我认为可能是 iTunes 比平时更容易出错。

然而,当我尝试访问 www.apple.com 时,我注意到一些非常奇怪的事情,我的浏览器警告我(谷歌浏览器)说这个网站不安全。这开始在我脑海中敲响警钟,我点击“继续”并看到这个页面:

苹果网络钓鱼

作为(有点)网页设计师/开发人员,我关注网站上的小细节,我立刻知道这不是苹果主页的样子,他们当然没有提示你登录他们的主页。我对该页面的源代码进行了更深入的挖掘,发现源代码对于大公司来说过于简化了;JS 的唯一部分是验证电子邮件地址的格式是否正确。

我开始怀疑我的 Mac 机器可能被感染了,所以我切换到我的 iPhone(在同一个 WiFi 网络上),尝试www.apple.com,并显示完全相同的页面。对我来说,这听起来像是与 DNS 有关,因为我的两个设备都被感染的可能性很小。然后我转向我的路由器查看它的设置。

瞧,在深入研究 DNS 设置时,我发现这些设置看起来有点奇怪。我最初将我的 DNS 设置设置为使用 Google 的服务器,尽管这是多年前设置的,但我知道它类似于8.8.*.*.

但是,在我的设置中,我发现了以下 IP:

Primary: 185.183.96.174
Secondary: 8.8.8.8

我马上就知道 DNS 已更改,主地址应该是8.8.4.4. 除了我在网络上,没有人可以访问我的路由器管理页面,并且我已禁用对本地网络外部路由器的访问,我可以看到外部访问已启用,在初始设置时,这肯定已关闭。

我的问题是:“DNS 怎么会被更改/我能做些什么来防止这种情况再次发生?

我尝试让我的路由器固件保持最新(尽管在发这篇文章时我可能落后了 1 个版本)。

有关钓鱼网站的更多信息:

在我改回主 DNS 设置之前,我想了解更多关于这个网络钓鱼站点的信息,所以我跑去ping apple.com找 IP 地址是185.82.200.152.

当我将其输入浏览器时,我可以看到该人创建了许多站点来尝试捕获登录信息。我怀疑他们在美国;我不相信沃尔玛在美国以外的地方经营(至少不在英国)。我已将 IP 报告给位于迪拜的网络主机,正在等待回复。

编辑(路由器详细信息): Asus AC87U,FW 版本 3.0.0.4.380.7743(1 版本落后)
我没有设置默认密码。

第二次更新:
主机已暂停该帐户。

钓鱼服务器目录

3个回答

是的,您的路由器的主要 DNS 条目被指向一个流氓 DNS 服务器,以使您网络中的设备apple.com和其他域解析为网络钓鱼站点。路由器可能因其固件中未修补的漏洞而受到损害。

我有一个华硕 AC87U,固件版本 3.0.0.4.380.7743(1 个版本落后)。

你的发布已经半年多了。最新版本3.0.0.4.382.50010(2018-01-25) 包含许多安全修复程序,包括可能已在此处利用的 RCE 漏洞。

安全固定

  • 修复了 KRACK 漏洞
  • 修复了 CVE-2017-14491:DNS - 基于 2 字节堆的溢出
  • 修复了 CVE-2017-14492:DHCP - 基于堆的溢出
  • 修复了 CVE-2017-14493:DHCP - 基于堆栈的溢出
  • 修复了 CVE-2017-14494:DHCP - 信息泄漏
  • 修复了 CVE-2017-14495:DNS - OOM DoS
  • 修复了 CVE-2017-14496:DNS - DoS 整数下溢 - 修复了 CVE-2017-13704:错误冲突
  • 修复了可预测的会话令牌 (CVE-2017-15654)、登录用户 IP 验证 (CVE-2017-15653)、登录信息泄露(特别感谢 Blazej Adamczyk 的贡献)
  • 修复了 Web GUI 授权漏洞。
  • 修复 AiCloud XSS 漏洞
  • 修复了 XSS 漏洞。感谢 Joaquim 的贡献。
  • 修复了 LAN RCE 漏洞。一位独立的安全研究人员已将此漏洞报告给 Beyond Security 的 SecuriTeam 安全披露计划
  • 修复了远程代码执行漏洞。感谢 Fortinet 的 FortiGuard 实验室的 David Maciejak
  • 修复了智能同步存储的 XSS 漏洞。感谢Guy Arazi 的贡献。-修复了 CVE-2018-5721 基于堆栈的缓冲区溢出。

(来源)

虽然华硕没有公布漏洞细节,但攻击者可能已经独立发现了该版本中修补的一些漏洞。区分固件版本以对修补的部分进行逆向工程通常非常简单,即使无法访问原始源。(这通常通过Microsoft 安全更新来完成。)这种“1 天漏洞利用”的开发成本相对较低。

此外,这看起来像是最近更广泛的攻击的一部分。三天前的这条推文似乎描述了一个与你所经历的非常相似的事件:

我的华硕家用路由器显然被黑了,并且在配置中添加了一个位于迪拜的流氓 DNS 服务器。它将http://apple.com之类的网站重定向 到(我认为)我在孩子们泄露他们的凭据之前捕获的网络钓鱼网站。检查你的路由器孩子。

@harlanbarnes 在推特上,2018-03-09)

[...] 我的浏览器警告我(谷歌浏览器)说这个网站不安全。[...] 我开始怀疑我的 Mac 机器可能被感染了 [...]

您收到证书警告的事实使攻击者不太可能设法进入您的计算机。否则,他们可能会弄乱您的本地证书存储或浏览器内部结构,并且不需要进行公然的 DNS 更改。

除了我在网络上没有人可以访问我的路由器管理页面

即使从网络外部看不到您的路由器接口,它也可能容易受到一系列攻击。例如,以不久前的Netgear 路由器任意代码执行漏洞为例,Netgear 路由器执行作为 URL 一部分发送的任意命令。

这里的想法是通过向路由器接口发出特制的跨域请求来诱骗您访问一个准备好的网站,让您自己进行攻击。这可能会在您没有注意到的情况下发生,并且不需要远程访问接口。

最终,给定的信息并没有揭示确切的攻击路径。但有可能他们利用了您过时的固件版本中的漏洞。作为最终用户,您至少应该尽快更新固件,必要时恢复出厂设置,并保持路由器接口受密码保护,即使只能从 Intranet 访问。

很明显,有人更改了路由器内部的 DNS 条目,可能使用了默认凭据。您应该恢复出厂设置,更新固件,更改默认凭据并禁用外部访问。

是的,DNS185.183.96.174来自黑客,还活着……

dig apple.com @185.183.96.174

这将返回:

apple.com.      604800  IN  A   185.82.200.152

所有的假网站都在那里 hxxp://185.82.200.152/

在这种情况下,我强烈建议的一件事是尝试使用 DD-WRT(开源固件)之类的东西来刷新您的路由器。DD-WRT 论坛列出了您路由器的 beta 版本这些构建通常不太容易受到这样的外部入侵,因为它们是使用最佳实践构建的。与此长长的易受攻击的华硕路由器列表(列出您描述的问题)进行对比。

40 款 Asus RT 系列家用路由器受到五个漏洞的影响,这些漏洞允许攻击者获取路由器密码、未经身份验证更改路由器设置、执行代码和窃取路由器数据。

从好的方面来说,至少他们只是在使用 Apple 凭证而不是耗尽你所有的带宽

另一个建议是购买可以更好地自行修补的路由器。我前段时间买了一个 Amplifi,当我有固件更新时,它的触摸屏会通知我(点击两次,我就打了补丁)。

其它你可能感兴趣的问题
上一篇是否有任何技术安全理由不购买您能找到的最便宜的 SSL 证书? 下一篇为什么我不能让客户直接连接到我的数据库?