互联网黑势力之-流量劫持

[26] 某“伪色播”病毒APP扣费通道的数据存储服务器 3. DNS劫持路由器作为亿万用户网络接入的基础设备，其安全的重要性不言而喻。最近两年曝光的路由器漏洞、后门等案例比比皆是，主流路由器品牌基本上无一漏网。虽然部分厂商发布了修复补丁固件，但是普通用户很少会主动去更新升级路由器系统，所以路由器漏洞危害的持续性要远高于普通PC平台；另一方面，针对路由器的安全防护也一直是传统安全软件的空白点，用户路由器一旦中招往往无法察觉。国内外针对路由器的攻击事件最近两年也非常频繁，我们目前发现的攻击方式主要分为两大类，一类是利用漏洞或后门获取路由器系统权限后种植僵尸木马，一般以ddos木马居多，还兼容路由器常见的arm、mips等嵌入式平台；另一类是获取路由器管理权限后篡改默认的DNS服务器设置，通过DNS劫持用户流量，一般用于广告刷量、钓鱼攻击等。

[27] 兼容多平台的路由器DDOS木马样本
下面这个案例是我们近期发现的一个非常典型的dns劫持案例，劫持者通过路由器漏洞劫持用户DNS，在用户网页中注入JS劫持代码，实现导航劫持、电商广告劫持、流量暗刷等。从劫持代码中还发现了针对D-Link、TP-Link、ZTE等品牌路由器的攻击代码，利用CSRF漏洞篡改路由器DNS设置。

[28] 路由器DNS流量劫持案例简图

[29] 针对d-link、tp-link、zte等品牌路由器的攻击代码
被篡改的恶意DNS会劫持常见导航站的静态资源域名，例如http://s0.hao123img.com、http://s0.qhimg.com等，劫持者会在网页引用的jquery库中注入JS代码，以实现后续的劫持行为。由于页面缓存的原因，通过JS缓存投毒还可以实现长期隐蔽劫持。

[30] 常见的导航站点域名被劫持

[31] 网站引用的jquery库中被注入恶意代码
被注入页面的劫持代码多用来进行广告暗刷和电商流量劫持，从发现的数十个劫持JS文件代码的历史变化中，可以看出作者一直在不断尝试测试改进不同的劫持方式。

[32] 劫持代码进行各大电商广告的暗刷

[33] 在网页中注入CPS广告，跳转到自己的电商导流平台 我们对劫持者的流量统计后台进行了简单的跟踪，从51la的数据统计来看，劫持流量还是非常惊人的，日均PV在200w左右，在2015年末的高峰期甚至达到800w左右，劫持者的暴利收益不难想象。

[34] DNS流量劫持者使用的51啦统计后台
最近两年DNS劫持活动非常频繁，恶意DNS数量增长也非常迅速，我们监测到的每年新增恶意DNS服务器就多达上百个。针对路由器的劫持攻击案例也不仅仅发生在国内，从蜜罐系统和小范围漏洞探测结果中，我们也捕获到了多起全球范围内的路由器DNS攻击案例。

[35] DNS流量劫持者使用的51啦统计后台

[36] 在国外地区发现的一例路由器CSRF漏洞“全家桶”，被利用的攻击playload多达20多种下面的案例是2016年初我们的蜜罐系统捕获到一类针对路由器漏洞的扫描攻击，随后我们尝试进行溯源和影响评估，在对某邻国的部分活跃IP段进行小范围的扫描探测后，发现大批量的路由器被暴露在外网，其中存在漏洞的路由器有30%左右被篡改了DNS设置。抛开劫持广告流量牟利不谈，如果要对一个国家或地区的网络进行大批量的渗透或破坏，以目前路由器的千疮百孔安全现状，无疑可以作为很适合的一个突破口，这并不是危言耸听。如下图中漏洞路由器首选DNS被设置为劫持服务器IP，备选DNS服务器设为谷歌公共DNS(8.8.8.8)