網絡罪犯開發了一種基于Web的攻擊工具，當用戶訪問受感染網站或查看惡意廣告時，該工具將大規模劫持路由器。

[[135332]]

這種攻擊的目標是使用攻擊者控制的流氓服務器來取代路由器中配置的DNS(域名系統)服務器，這讓攻擊者可以攔截流量、欺騙網站、劫持搜索查詢、注入惡意廣告到網頁等。

DNS就像是互聯網的電話簿，它發揮著關鍵作用。它將域名(方便用戶記住)轉換成數字IP(互聯網協議)地址，讓計算機可互相通信。

DNS以分級的方式運作。當用戶在瀏覽器中輸入網站的名稱，瀏覽器會向操作系統請求該網站的IP地址。然后操作系統會詢問本地路由器，查詢其中配置的DNS服務器—通常是由互聯網服務提供商運行的服務器。接著，該請求到達權威服務器來查詢域名或者服務器會從緩存中提供該信息。

如果攻擊者進入這個過程中，他們可以回復一個流氓IP地址。這會欺騙瀏覽器去尋找不同服務器的網站;例如攻擊者可以制造假的網站來竊取用戶的登錄信息。

獨立安全研究人員Kafeine最近觀察到從受感染網站發出的路過式攻擊，用戶重定向到罕見的基于Web的漏洞利用工具包，該工具包專門用來破壞路由器。

這些漏洞利用工具包通常在地下市場進行銷售，由攻擊者用來瞄準過時瀏覽器插件中的漏洞，包括Flash Player、Java、Adobe Reader或Silverlight。其目標是在沒有更新軟件的計算機上安裝惡意軟件。

這種攻擊通常是這樣運作：惡意代碼注入到受感染網站或惡意廣告中，重定向用戶的瀏覽器到攻擊服務器，確定其操作系統、IP地址、地理位置、瀏覽器類型、已安裝的插件和其他詳細信息。基于這些信息，服務器然后會從其武器庫選擇并啟動漏洞利用攻擊包。

Kafeine觀察到的攻擊則不痛。谷歌Chrome用戶被重定向到惡意服務器，該服務器會加載代碼旨在確定這些用戶使用的路由器型號，并取代該設備中配置的DNS服務器。

很多用戶認為，如果其路由器沒有設置進行遠程管理，攻擊者就無法從互聯網利用其Web管理界面的漏洞，因為這種界面只能從本地網絡內進行訪問。

但并不是這樣。這種攻擊利用被稱為跨站點請求偽造(CSRF)的技術，讓惡意網站迫使用戶的瀏覽器在不同的網站執行惡意操作。目標網站可以是路由器的管理界面--只能通過本地網站訪問的。

互聯網中很多網站已經部署了抵御CSRF的防御措施，但路由器仍然缺乏這種保護。

Kafeine發現的路過式攻擊工具包利用CSRF來檢測來自不同供應商的40多種路由器型號，這些供應商包括Asustek Computer、Belkin、D-Link、Edimax Technology、Linksys、Medialink、微軟、Netgear、深圳吉祥騰達公司、TP-Link Technologies、Netis Systems、Trendnet、ZyXEL Communications和Hootoo。

根據檢測到的型號，該攻擊工具會利用已知命令注入漏洞或利用共同管理登錄憑證來改變路由器的DNS設置。其中也利用了CSRF。

如果該攻擊成功的話，路由器的主DNS服務器設置為由攻擊者控制的服務器，而次級服務器(用于故障恢復)則設置為谷歌的公共DNS服務器。這樣的話，如果惡意服務器臨時停機，路由器仍然有完善的DNS服務器來解析查詢(+本站微信networkworldweixin)，用戶也不會懷疑和重新配置該設備。

根據Kafeine表示，這種攻擊中利用的漏洞之一影響著來自多個供應商的路由器。有些供應商已經發布了固件更新，但在過去幾個月中，更新的路由器數量仍然非常低。

大部分路由器需要手動更新，這個過程可能需要一些專業技能，這也是為什么很多路由器沒有更新的原因。

攻擊者也知道這一點。事實上，這個漏洞利用工具包瞄準的漏洞還包括2008年和2013年的兩個漏洞。

這個攻擊似乎已經大規模執行。根據Kafeine表示，在五月的第一周，攻擊服務器每天大約有25萬訪問用戶，峰值在5月9號達到100萬。其中影響最大的國家是美國、俄羅斯、澳大利亞、巴西和印度。

為了保護自身，用戶應該定期檢查制造商網站中針對其路由器型號的固件更新，并進行安裝。如果路由器允許的話，他們還應該限制管理界面的訪問到通常沒有設備會使用的IP地址，但在需要更改路由器的設置時他們可以手動分配到其計算機。