Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Threat Database Potentially Unwanted Programs GhostDNS

GhostDNS

Por GoldSparrow em Potentially Unwanted Programs
Traduzir Para:
Português

O nome GhostDNS refere-se a uma campanha de sequestro de DNS registrada pelas empresas da Av em outubro de 2018. Os agentes de ameaças usaram um ataque complexo que tinham como alvo os roteadores brasileiros e redirecionaram os roteadores comprometidos para sites de phishing. A campanha do GhostDNS é muito sofisticada e usa três módulos de ataque, um painel de administração da Web e um servidor de phishing para lidar com as solicitações de rede. No momento em que este artigo foi escrito, os pesquisadores confirmaram que os agentes do GhostDNS seqüestraram os registros DNS de 52 domínios com sucesso e têm acesso a pelo menos 100.000 roteadores domésticos.

O Ataque do GhostDNS é Destinado Principalmente aos Roteadores Domésticos

A maioria dos usuários de roteadores domésticos dependem de hardwares baratos para a sua conectividade de rede doméstica e geralmente demoram a adotar correçōes de segurança e novos firmwares. Acreditamos que é por isso que a campanha do GhostDNS foi tão bem-sucedida. A segmentação inteligente não é a única coisa importante na campanha do GhostDNS. Como mencionado acima, os agentes de ameaças usam uma ferramenta de plataforma chamada 'DNSChanger Module', um servidor DNS de phishing e uma API da Web para controlar a campanha do GhostDNS. O 'DNSChanger Module' inclui os três sub-módulos listados abaixo:

  • Shell DNSChanger - Menos usado, ele carrega uma ferramenta de terceiros chamada Fast HTTP Auth Scanner v0.6 (FScan) para encontrar roteadores vulneráveis. Ele está configurado para executar muitas regras de digitalização e usar uma lista de senhas no ataque.
  • Js DNSChange - A estrutura consiste principalmente em digitalizadores, geradores de carga útil e programas de ataque. Ele é usado para identificar as portas abertas e injetar uma carga codificada com a base64, que é inserida como um esquema de URI de dados.
  • Pycp DNSChanger - Inclui uma API da Web para controle, usa uma digitalização da porta do Masscan e o serviço da API do Shodan para atacar roteadores no Brasil. Em seguida, ele permite ataques de força bruta na página de login do roteador.

Os Criadores do GhostDNS Tentam Adivinhar as Credenciais de Login e Exploram Vulnerabilidades Conhecidas

Os sub-módulos mencionados acima são usados ​​para ter como alvo módulos e firmware específicos do roteador. As cargas úteis personalizadas são geradas automaticamente e as listas de senhas e scripts personalizados permitem a adivinhação automática do login. Depois que um roteador é comprometido, os agentes de ameaça alteram as configurações DNS padrão e fazem com que o roteador se conecte a um servidor de phishing que fornece endereços de IP de páginas de phishing. Dessa forma, os usuários de PC e smartphones conectados ao roteador infectado são redirecionados para páginas de phishing, em vez das legítimas. Enquanto escrevo, a campanha do GhostDNS está associada a 19 sites de phishing e controla a gravação de credenciais de login para portais de serviços bancários on-line e serviços de comunicação móvel.

Uma lista dos roteadores e firmware comprometidos pode ser encontrada abaixo:

AirRouter AirOS, Antena PQWS2401, Router C3-TECH, Router de Cisco, CPE-2n de Elsys, GPON ONU, GWR 120, Greatek, Huawei, LINKONE, MikroTik, Multilaser, OIWTech, PFTP-WR300, QBR-1041 WU, Sapido RB-1830, TECHNIC LAN WAR-54GS, Router de banda larga Tenda Wireless-N, Thomson, Firmware de routers Wive-NG, ZXHN H208N, Zyxel VMG3312
D-Link DIR-600, D-Link DIR-610, D-Link DIR-615, D-Link DIR-905L, D-Link ShareCenter
Fiberhome, Fiberhome AN5506-02-B, Fiberlink 101
Intelbras WRN 150, Intelbras WRN 240, Intelbras WRN 300
Roteador PNRT150M, Roteador Sem Fio N 300Mbps, Roteador WRN150, Roteador WRN342
TP-Link Archer C7, TP-Link TL-WR1043ND, TP-Link TL-WR720N, TP-Link TL-WR740N, TP-Link TL-WR749N, TP-Link TL-WR840N, TP-Link TL-WR841N, TP- Link TL-WR845N, TP-Link TL-WR849N e TP-Link TL-WR941ND.

A PrincipalAmeaça do GhostDNS é que Ele é Escalável

Os especialistas em segurança dos computadores notaram que a campanha do GhostDNS usa ferramentas de ataque automatizadas e se aproveita das vulnerabilidades conhecidas. A plataforma GhostDNS tem estrutura modular e pode ser dimensionada para atingir dispositivos fora do Brasil com facilidade. O servidor de phishing utilizado pelo GhostDNS pode ser configurado para seqüestrar vários domínios e lidar com uma carga de rede mais pesada. É recomendável que você altere as credenciais de login do seu roteador, instale a atualização de firmware mais recente do fabricante do roteador e certifique-se de executar a configuração de rede padrão.

Tendendo

Mais visto

Carregando...