悪質なウェブ広告を通じて拡散し、ブロードバンド ルーターを脅かすマルウェアが発見されました。このマルウェアは、特に中小企業や家庭のインターネット ユーザーをターゲットにしており、非常に恐ろしいものとなるでしょう。
カリフォルニアの情報セキュリティ企業Proofpointが発見した、長年存在していたDNSChangerの最新亜種は、次のように動作します。広告ネットワーク経由で主要ウェブサイトに掲載される広告に、JavaScriptコードが隠されています。このコードはWindowsとAndroidのChromeを優先し、MozillaのSTUNサーバーへのWebRTCリクエストを使用して、サイトにアクセスしたブラウザのローカルIPアドレスを確認します。
攻撃者が標的とするIPアドレス範囲外の場合、正規の広告が取得・表示され、それ以上何も起こりません。IPアドレスが範囲内の場合、JSコードはPNG画像形式の偽の広告をダウンロードし、画像のコメント欄からHTMLを抽出します。このHTMLはページ内でレンダリングされ、DNSChangerエクスプロイトキットをホストする別のウェブサイトへブラウザをリダイレクトします。
次に、その Web ページ上の悪質な JavaScript が、ステガノグラフィーを使用して画像に隠された AES キーを取得します。このキーは、追加のコード、ブロードバンド ルーターで使用される一連のデフォルトのユーザー名とパスワード、および被害者のルーターを識別するために使用される 166 個の指紋を含む別のペイロードを復号化するために使用されます。
次に、ブラウザ内で復号されたデータを使って実行されるエクスプロイトキットは、フィンガープリントの候補リストから使用されているルーターを特定しようとします。一致するものがあれば、そのゲートウェイの脆弱性を悪用してルーターを乗っ取るために必要なコードを取得します。一致するものがなければ、デフォルトのログイン認証情報をすべて試し、それでもダメなら、デバイスの一般的な脆弱性を突くエクスプロイトを多数実行しようとします。
最終的な目的は、被害者のブラウザからローカル ネットワーク上のルーターに接続し、既知のデフォルト パスワードやプログラミング上のミスなどのセキュリティ上の欠陥を悪用してゲートウェイを乗っ取り、DNS 設定を不正なネーム サーバーに変更することです。
その後、コンピュータがローカルネットワークに接続すると、設定によってはルーターから不正なDNS設定を取得し、ハッカーが管理するネームサーバーを介してドメイン名の検索を実行する可能性があります。これらのサーバーを制御している人は誰でも、ユーザーのブラウザを正規のウェブサイトを装った悪意のあるシステムに接続させてログイン情報を盗んだり、ダウンロードをリダイレクトして被害者のPCにさらなるマルウェアを注入したり、ブラウザが本来表示すべき本物の広告ではなく怪しい広告を表示したりすることができます。
Proofpointの感染経路を示す図…クリックして全図を表示
感染エクスプロイトの中には、ルーター上で脆弱なサービスを起動させるものもあり、Miraiボットネットのような悪質な攻撃者がゲートウェイを乗っ取るために攻撃を仕掛けることがあります。DNSChanger EKの脆弱性が知られているデバイスには、以下のものがあります。
- D-Link DSL-2740R
- COMTREND ADSLルーター CT-5367 C01_R12
- NetGear WNDR3400v3(おそらくこのシリーズの他のモデルも)
- ピレリ ADSL2/2+ ワイヤレスルーター P.DGA4001N
- ネットギア R6200
「攻撃者がネットワーク上のDNSサーバーを制御すると、ネットワークに接続するデバイス上でさまざまな悪意ある行為を実行する可能性が生じる」とプルーフポイントは先週述べた。
これらには、銀行詐欺、中間者攻撃、フィッシング、広告詐欺などが含まれます。今回のケースでは、DNSChangerエクスプロイトキットによって、攻撃者はSOHOネットワーク上で唯一のDNSサーバーであることが多いインターネットルーター自体を悪用することが可能になります。一般的に、これらの攻撃を回避するには、ルーターメーカーがファームウェアに定期的にパッチを適用し、ユーザーが定期的にパッチを適用する必要があります。
現時点では、DNSChanger の首謀者は、乗っ取った DNS 設定を介して、正当な広告ブローカーへの接続を他のネットワークにリダイレクトし、ブラウザーに詐欺師が金儲けできる広告を表示させることだけを狙っているようです。
現時点では、FogzyとTrafficBrokerがこのリダイレクトトラフィックを最も多く利用しているようです。両社とも、何か不審な事態が発生しているとの報告を受けています。月曜日に、Fogzyがリダイレクトをブロックしたと伝えられました。
「残念ながら、これらの攻撃から身を守る簡単な方法はありません。ルーターの最新アップデートを適用することが、依然としてエクスプロイトを回避する最善の方法です」とProofpointは述べています。管理インターフェースのユーザー名とパスワードを変更すること、そして設定を変更していないときはルーターからログアウトすることも良い考えです。これらの予防策を講じていても、一部のゲートウェイは依然として脆弱な状態にある可能性があります。
「この特定のケースでは、デフォルトのローカルIP範囲を変更することで、ある程度の保護が得られる可能性があります。しかし、これらの解決策はどちらも、SOHOルーターの平均的なユーザーが行う典型的な方法ではありません」と、業界関係者は続けている。®
