安全公司ProofPoint的研究人員于上周二發(fā)布了一個報告，報告中指出黑客正在通過更改DNS設置劫持巴西網民的網絡連接。攻擊者主要是利用家用路由器中存在的安全漏洞入侵，然后修改路由器DNS設置，這種攻擊被稱為pharming(網址嫁接攻擊)。

[[128788]]

科普：網址嫁接攻擊

網址嫁接攻擊是一種重新導向的詐騙技巧，由網絡釣魚衍生而來。主要通過在網頁中植入木馬或者利用域名服務器上的漏洞將受害者錯誤的引導到偽造的網站中，并伺機竊取證書和敏感信息。

通常情況下，網址嫁接攻擊的成功率非常高，一般不會被發(fā)現(xiàn)。通過更改路由器的DNS設置，受害者只要輸入真實域名或者合法網站地址，攻擊者就可將其重定向到一個偽造網站上。另外攻擊者還可以利用pharming(網址嫁接攻擊)發(fā)動中間人攻擊，例如攔截網站上的郵件、登錄名和密碼，或者劫持用戶的搜索結果等。

從釣魚開始發(fā)起CSRF攻擊

安全研究人員從2014年12月份就開始觀察這種行為了，他們發(fā)現(xiàn)攻擊主要是從一封垃圾郵件開始的，并且查到這封垃圾郵件是從巴西最大的電信公司發(fā)出的，發(fā)送對象是UTStarcom和TP-Link家用路由器用戶。這些郵件中都包含一個惡意鏈接，一旦受害者點擊了這個鏈接，就會被重定向到一個含有該路由器跨站請求偽造(CSRF)漏洞利用程序(exploit)的頁面上。

攻擊成功后，攻擊者即獲得了路由器控制臺的訪問權限，他們會使用默認密碼或暴力破解設備，把路由器初始DNS服務器的IP地址更改為惡意的DNS IP地址。

以前，攻擊者會把primary和secondaryDNS記錄都修改掉，但是據最近的觀察發(fā)現(xiàn)，攻擊者只會更改primaryDNS，而secondary DNS則會設置成谷歌公共DNS 8.8.8.8。

網址嫁接式攻擊不易被發(fā)現(xiàn)，而且成功率非常高。所以建議用戶使用老辦法：更改路由器密碼，越復雜越好。