Ho appena ricevuto DNS Hijacked?

Naviga le tue risposte
135

Oggi sono andato online sul mio Macbook e ho notato che il mio iTunes si lamentava che non poteva connettersi ad Apple, ho provato a disconnettermi e ad entrare nel mio account ma stranamente mi ha detto che non poteva accedere; All'inizio non ci pensavo molto, perché pensavo che forse iTunes fosse più buggato del solito.

Comunque ho notato qualcosa di veramente strano, quando ho provato a visitare www.apple.com il mio browser mi ha avvertito (Google Chrome) che diceva che questo sito non era sicuro. Ho iniziato a suonare campanelli d'allarme nella mia mente, ho cliccato su "Continua comunque" e sono stato accolto con questa pagina:

Essendo(unpo')unwebdesigner/sviluppatoreprestaattenzioneaipiccolidettaglidiunsitowebehocapitosubitochenoneraquellocheassomigliavaallahomepagediApple,ecertamentenontihannochiestodiaccedereallalorohomepage.Hoscavatounpo'piùinprofonditànelcodicesorgentedellapaginaehopotutovederecheilcodicesorgenteeratropposemplificatoperunagrandeazienda;l'unicopezzodiJSeraverificarechel'indirizzoemailfossenelformatogiusto.

HoiniziatoasospettarecheilmioMacfossestatoinfettato,quindisonopassatoalmioiPhone(sullastessareteWiFi),hoprovatowww.apple.comehomostratolastessaidenticapagina.PermequestosembravaaverequalcosaachefareconDNSpoichéleprobabilitàcheentrambiimieidispositivifosseroinfettieranomoltoimprobabili.Misonoquindirivoltoalmiorouterperdareun'occhiataallesueimpostazioni.

Ecco,quandohoscavatonelleimpostazioniDNShopotutovederecheleimpostazionieranounpo'strane.InizialmenteavevoimpostatolemieimpostazioniDNSperutilizzareiserverdiGoogle,sebbenefossestatoimpostatomoltiannifasapevochesitrattavadiqualcosasullafalsarigadi8.8.*.*.

NellemieimpostazionituttaviahotrovatoiseguentiIP:

Primary:185.183.96.174Secondary:8.8.8.8

SapevosubitocheilDNSerastatomodificato,l'indirizzoprincipaleavrebbedovutoessere8.8.4.4.Nessunohaaccessoallamiapaginadiamministrazionedelrouteroltreamesullarete,ehodisabilitatol'accessoalrouteraldifuoridellaretelocalePossovederechel'accessoesternoeraabilitato,nellaconfigurazioneinizialequestoeradecisamentespento.

Lamiadomandaè:"Come è stato possibile modificare il DNS / Cosa posso fare per evitare che ciò accada di nuovo?

Cerco di mantenere aggiornato il firmware del mio router (anche se forse avevo un solo scarto all'epoca di questo post).

Ulteriori informazioni sul sito di phishing:

Prima ho cambiato il DNS primario indietro e volevo saperne di più su questo sito di phishing, quindi ho eseguito ping apple.com per trovare l'indirizzo IP era 185.82.200.152 .

Quando l'ho inserito in un browser, ho potuto vedere che la persona aveva creato un certo numero di siti per provare a catturare gli accessi. Sospetto che abbiano sede negli Stati Uniti; Non credo che Walmart operi al di fuori degli Stati (almeno non nel Regno Unito). Ho segnalato l'IP al host web di Dubai e sto aspettando una risposta.

Modifica (dettagli del router): Asus AC87U, versione FW 3.0.0.4.380.7743 (1 versione precedente)
Ho non impostato le password predefinite.

Secondo aggiornamento:
L'host ha sospeso l'account.

    
posta Imran 12.03.2018 - 00:24
fonte

3 risposte

121

Sì, la voce DNS principale del router era indirizzata a un server DNS canaglia per fare in modo che i dispositivi della rete risolvano apple.com e altri domini ai siti di phishing. Il router potrebbe essere stato compromesso attraverso una vulnerabilità senza patch nel suo firmware.

I have an Asus AC87U, FW Version 3.0.0.4.380.7743 (1 release behind).

La tua versione ha più di un anno e mezzo. L'ultima versione 3.0.0.4.382.50010 (2018-01-25) include lotti di correzioni di sicurezza, incluse le vulnerabilità RCE che potrebbero essere state sfruttate qui.

Security fixed

  • Fixed KRACK vulnerability
  • Fixed CVE-2017-14491: DNS - 2 byte heap based overflow
  • Fixed CVE-2017-14492: DHCP - heap based overflow
  • Fixed CVE-2017-14493: DHCP - stack based overflow
  • Fixed CVE-2017-14494: DHCP - info leak
  • Fixed CVE-2017-14495: DNS - OOM DoS
  • Fixed CVE-2017-14496: DNS - DoS Integer underflow -Fixed CVE-2017-13704 : Bug collision
  • Fixed predictable session tokens(CVE-2017-15654), logged user IP validation(CVE-2017-15653), Logged-in information disclosure (special thanks for Blazej Adamczyk contribution)
  • Fixed web GUI authorization vulnerabilities.
  • Fixed AiCloud XSS vulnerabilities
  • Fixed XSS vulnerability. Thanks for Joaquim's contribution.
  • Fixed LAN RCE vulnerability. An independent security researcher has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • Fixed remote code execution vulnerability. Thanks to David Maciejak of Fortinet's FortiGuard Labs
  • Fixed Smart Sync Stored XSS vulnerabilities. Thanks fo Guy Arazi's contribution. -Fixed CVE-2018-5721 Stack-based buffer overflow.

(Source)

Sebbene Asus non pubblichi dettagli sugli errori, gli autori di attacchi potrebbero aver scoperto indipendentemente alcune delle vulnerabilità patchate in quella versione. Le versioni del firmware diffuse per il reverse-engineer di quali parti sono state patchate sono in genere piuttosto semplici, anche senza l'accesso alla fonte originale. (Questo è normalmente fatto con gli aggiornamenti della sicurezza Microsoft .) Tali" exploit di 1 giorno "sono relativamente economici da sviluppare.

Inoltre, sembra che faccia parte di un attacco recente più diffuso. Questo tweet di tre giorni fa sembra descrivere un incidente molto simile a quello che hai sperimentato:

My ASUS home router was apparently hacked and a rogue DNS server in Dubai added to the configuration. It redirected sites like http://apple.com to a phishing site that (I think) I caught before my children gave away their credentials. Check your routers kids.

( @harlanbarnes su Twitter , 2018-03-09)

[...] my browser warned me (Google Chrome) saying this website was not secure. [...] I began to suspect maybe my Mac machine had been infected [...]

Il fatto di avere avvertenze sui certificati rende meno probabile che un utente malintenzionato sia riuscito a entrare nel tuo computer. In caso contrario, potrebbero avere incasinato l'archivio dei certificati locale o gli interni del browser e non avrebbero dovuto eseguire una modifica DNS evidente.

No one has access to my router administration page aside from me on the network

Anche se l'interfaccia del router non è visibile dall'esterno della rete, può essere vulnerabile a una serie di attacchi. Ad esempio, prendi questo exploit di esecuzione di codice arbitrario del router Netgear da qualche tempo fa che i router Netgear eseguivano comandi arbitrari inviati come parte dell'URL.

L'idea qui è di indurti a visitare un sito web preparato che ti porta a condurre l'attacco da solo inviando una richiesta di cross-origine appositamente predisposta all'interfaccia del router. Ciò potrebbe accadere senza che tu te ne accorga e non richiederebbe che l'interfaccia sia accessibile da remoto.

In definitiva, le informazioni fornite non rivelano il percorso di attacco esatto. Ma è plausibile che abbiano sfruttato le vulnerabilità nella versione firmware obsoleta. Come utente finale, dovresti almeno aggiornare il tuo firmware il prima possibile, effettuare il reset di fabbrica se necessario e mantenere l'interfaccia del tuo router protetta da password anche se è accessibile solo dalla intranet.

    
risposta data 12.03.2018 - 02:07
fonte
21

È ovvio che qualcuno abbia modificato le voci DNS all'interno del router, probabilmente utilizzando le credenziali predefinite. Devi procedere con il ripristino dei dati di fabbrica, aggiornare il firmware, modificare le credenziali predefinite e disabilitare l'accesso esterno ad esso.

E sì che il DNS 185.183.96.174 proviene da hacker, ancora in vita ... 

dig apple.com @185.183.96.174

Questo restituirà: 

apple.com.      604800  IN  A   185.82.200.152

E tutti i siti falsi si trovano lì hxxp://185.82.200.152/

    
risposta data 12.03.2018 - 01:11
fonte
6

Una cosa che suggerire ALTAMENTE in questo caso è provare a far lampeggiare il router con qualcosa come DD-WRT (firmware open source). I forum DD-WRT elencano una build beta per il tuo router . Queste build sono spesso molto meno suscettibili all'invasione esterna come questa, perché sono costruite con le migliori pratiche. Contrasto con questo lungo elenco di router ASUS vulnerabili (che elenca il problema che hai descritto).

40 models of the Asus RT line of home routers are affected by five vulnerabilities that allow an attacker to get ahold of the router password, change router settings without authentication, execute code, and exfiltrate router data.

Al rialzo, almeno erano solo dopo le credenziali di Apple invece di consuma tutta la larghezza di banda

Un altro suggerimento è quello di acquistare un router che possa adattarsi meglio a se stesso. Ho acquistato un Amplifi qualche tempo fa e il suo touch screen mi avvisa quando ho un aggiornamento del firmware (due tap e sono patchato).

    
risposta data 12.03.2018 - 20:11
fonte

Leggi altre domande sui tag

C'è qualche motivo di sicurezza tecnica per non acquistare il certificato SSL più economico che riesci a trovare? È un programma di installazione di Windows che non richiede diritti di amministratore pericolosi?