黑客滥用 Google 平台锁定路由器展开 DNS 攻击

威客安全
BadPackets认为,相较于其它的竞争对手,GCP似乎更容易遭到滥用,只要具备Google帐号就能以浏览器存取Google Cloud Shell,再透过指令使用云端资源,有鉴于这些虚拟机器的短暂特质,再加上Google对于滥用检举的反应并不快,皆使得这类的恶意行为难以防范。

资深安全从业者Bad Packets及网络测试业者Ixia最近几个月相继侦测到大规模锁定家用路由器的DNS挟持攻击,受到波及的路由器品牌涵盖D-Link、TOTOLINK、Secutech及ARG-W4等品牌,且相关攻击全是利用Google Cloud Platform(GCP)的资源。

NS如同网络上的电话号码簿,可将使用者所输入的网域名称直接转成IP位址,家用路由器上通常会有内建的DNS伺服器,亦允许使用者指定DNS伺服器,当黑客窜改了路由器的DNS伺服器设定时,就能将使用者的流量导至黑客所掌控的恶意伺服器,也许是为了执行广告点选诈骗,更多的是进行网钓攻击以窃取用户凭证。

ad Packets率先侦测到3波的DNS挟持攻击,它们先后出现在去年的12月、今年的2月,以及今年的3月,Ixia紧接着在4月发现新一波的路由器DNS挟持攻击,黑客先藉由GCP开采使用者家中的路由器,把路由器中的DNS设定改为黑客所掌控的版本,并透过在OVH或GCP上所架设的恶意DNS伺服器,将使用者的流量导至恶意网站。

Iia发现黑客锁定了Paypal、Gmail、Uber及Netflix等知名网站,以及巴西的代管服务供应商与巴西金融组织,以恶意DNS伺服器将受害者导至假冒的上述网站并骗取使用者的登入凭证,这些伪造的网站在外观上与正牌网站一模一样,但却采用未加密的HTTP传输协定。

BadPackets认为,相较于其它的竞争对手,GCP似乎更容易遭到滥用,只要具备Google帐号就能以浏览器存取Google Cloud Shell,再透过指令使用云端资源,有鉴于这些虚拟机器的短暂特质,再加上Google对于滥用检举的反应并不快,皆使得这类的恶意行为难以防范。

不过,Gogle回应了Ars Technica的询问,表示正在建立可辨识任何新兴威胁的规则,也会侦测并移除那些违反Google服务条款的帐号,或是暂时关闭有疑虑的帐号。

安全研究员则建议使用者应定期更新路由器韧体,或是检查路由器上的DNS设定是否曾被窜改。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论