Trendmicro研究人員發現一個通過跨域偽造攻擊CSRF來修改DNS設置，以攻擊家用和小型辦公室用路由器的新利用套件Novidade。Novidade可以通過經過認證的web應用來攻擊受害者的移動設備或桌面應用。一旦DNS設置被修改為惡意服務器，那么攻擊者就可以執行域欺騙攻擊（pharming attack），重定向所有鏈接相同路由器的設備流量。

研究人員最早是2017年8月發現了Novidade樣本，之后還識別出2個變種。其中一個變種出現在GhostDNS攻擊活動中的DNSChanger系統中。因此，研究人員認為Novidade并不只是一個單一的攻擊活動，該利用套件可能被應用于不同的攻擊活動中。其中一個可能性就是該利用套件工具被賣給多個組織或者源代碼被泄露了，因此威脅單元可以使用該工具或創建新的變種。其中識別的大多數攻擊活動使用釣魚攻擊來提取銀行憑證。但研究人員最近發現一起沒有特定地理攻擊范圍的攻擊活動，意味著攻擊者擴大了攻擊的范圍或有更多的威脅單元在使用該工具。

因為所有當前變種的web頁面上都有一個字符串“Novidade!”，因此研究人員將該利用套件命名為Novidade。

感染鏈

圖 1. Novidade感染鏈

研究人員發現Novidade工具通過不同的方式進行傳播，包括惡意廣告、注入被入侵的網站、即使消息應用等。一旦受害者接收并點擊到Novidade的鏈接，加載的頁面會馬上執行許多到預定義的本地IP地址列表的HTTP請求，這些請求是JavaScript Image函數生成的，預定義的本地IP地址列表是路由器最常用的IP。如果成功建立鏈接，Novidade就會查詢檢測到的IP地址來下載對應的base 64編碼的利用payload。然后Novidade會用已有的所有利用對檢測到的IP地址進行盲攻擊。之后，用默認帳戶名和密碼列表嘗試登陸路由器，然后執行CSRF攻擊來修改原來的DNS服務器為攻擊者的DNS服務器。一旦路由器被黑，所有連接到該路由器的設備都會受到域欺騙攻擊。

圖 2. Novidade通過即時消息傳播示例

下面是使用Novidade的一個典型例子。在該場景中，如果用戶嘗試連接到目標銀行域名，注入的DNS服務器會解析為一個有偽造銀行網站的IP地址。

圖 3.使用惡意廣告方法的Novidade攻擊流量示例

3個變種

研究人員一共發現了Novidade的三個變種，所有變種都共享前面提到的攻擊方法。但新變種在原有變種的基礎上進行了改進。第一個變種是2017年8月發現的，第二個變種與第一個變種的代碼結構相似，加入了運行時JavaScript混淆來使用加載的頁面根據攻擊活動的不同而不同。GhostDNS的JavaScript子模塊就是Novidade利用套件的第二個變種。第三個變種保留了JavaScript混淆但重新修改了加載頁的代碼，并加入了新的特征通過發送到STUN服務器的WebRTC請求到提取受害者的本地IP地址。許多之前的利用工具也使用了這樣的技術。第三個變種允許攻擊者在加載頁中嵌入一個短URL鏈接來追蹤攻擊數據，一般嵌入的短鏈接都是用于重定向的。

目前的攻擊活動使用的是Novidade的第二個和第三個變種。

表 1. Novidade變種比較

下面是部分受影響的路由器型號：

• A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)

• D-Link DSL-2740R

• D-Link DIR 905L

• Medialink MWN-WAPR300 (CVE-2015-5996)

• Motorola SBG6580

• Realtron

• Roteador GWR-120

• Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)

• TP-Link TL-WR340G / TL-WR340GD

• TP-Link WR1043ND V1 (CVE-2013-2645)

Novidade攻擊活動

研究人員發現多起使用Novidade攻擊路由器的活動。有大量攻擊活動攻擊巴西的用戶，通過惡意廣告攻擊傳播惡意套件來竊取銀行信息。使用嵌入Novidade的短URL鏈接到追蹤統計數據，研究人員發現最大的一起攻擊活動自3月起已經傳播了利用工具2400萬次。9月和10月研究人員共發現兩起使用不同方法來傳播Novidade的方式。

第一個攻擊活動使用2018年巴西總統選舉的即時消息應用通知來作為誘餌。惡意頁面以對選舉的問卷展示。但Novidade也被注入到該頁面中。受害者在填寫問卷的時候，Novidade就攻擊了受害者的路由器。受害者會通過即時消息應用來分享該問卷網址給30個人來接收問卷調查的結果。

一旦路由器被黑，就會將DNS服務器修改為144[.]217[.]24[.]233。但是現在已經無法檢查域攻擊中使用的域名了，因為DNS服務器已經宕機了。

圖 4.嵌入了Novidade利用套件的總統大選問卷

另一起攻擊活動是2018年10月底開始的，研究人員最初發現多個網站被注入了將用戶重定向到Novidade的iframe。其中，研究人員發現攻擊者注入攻擊的地區不限于巴西，而是分布在多個不同的國家。被黑的路由器的DNS設定被修改為位于108[.]174[.]198[.]177的惡意DNS服務器，當受害者訪問Google.com域名時，會被解析到IP地址107[.]155[.]132[.]183。一旦受害者訪問目標域名，馬上就會看到一個社會工程攻擊頁面要求受害者下載和安裝軟件。研究人員無法驗證下載的惡意軟件到底是什么，因為下載鏈接已經失效了。但看起來應該是惡意軟件或其他用戶不想安裝的應用。這種技術也在其他攻擊活動中多次出現過了。

圖 5.將受害者重定向到Novidade利用套件的注入的隱藏iframe代碼

圖 6. 偽造的軟件下載頁面

建議和最佳實踐

為了應對Novidade這樣的利用工具，研究人員建議用戶定期更新設備的固件。默認用戶名和密碼也是利用的常見入口，因此對所有賬戶使用強密碼是非常重要的。因此，修改路由器的默認IP地址，關閉遠程訪問特性，來減小攻擊者的機會。最后，用戶應該使用HTTPS來訪問敏感信息以防域攻擊帶來的危害。