翻譯：pwn_361

預(yù)估稿費(fèi)：170RMB（不服你也來(lái)投稿?。。?/p>

投稿方式：發(fā)送郵件至linwei##，或登陸網(wǎng)頁(yè)版在線(xiàn)投稿

概述

---

我們懷著永無(wú)止境的追求，去保護(hù)世界免受惡意軟件威脅。近日，我們發(fā)現(xiàn)了一個(gè)行為不端的Android木馬。盡管惡意軟件針對(duì)Android操作系統(tǒng)，早已不是一個(gè)新鮮事了，但是我們發(fā)現(xiàn)的這個(gè)木馬相當(dāng)?shù)莫?dú)特。因?yàn)樗⒉还粲脩?hù)，它的攻擊目標(biāo)是用戶(hù)連接的Wi-Fi網(wǎng)絡(luò)，或者，確切地說(shuō)，攻擊目標(biāo)是為網(wǎng)絡(luò)服務(wù)的無(wú)線(xiàn)路由器。這個(gè)木馬名字是“Trojan.AndroidOS.Switcher”，該木馬會(huì)針對(duì)路由器的Web管理頁(yè)面，進(jìn)行密碼暴力破解攻擊。如果攻擊成功，該惡意軟件會(huì)在路由器設(shè)置中更改DNS服務(wù)器的地址。從而將用戶(hù)的所有DNS查詢(xún)，從被攻擊的Wi-Fi網(wǎng)絡(luò)重定向到攻擊者那里(這樣的攻擊也被稱(chēng)為DNS劫持)。因此，下面我們?cè)敿?xì)解釋一下Switcher如何進(jìn)行密碼暴力破解攻擊，并進(jìn)入路由器，進(jìn)行DNS劫持。

聰明的小騙子

---

迄今為止，我們已經(jīng)看到了這個(gè)木馬的兩個(gè)版本：

該木馬的第一個(gè)版本)，將自己偽裝成了百度搜索引擎的一個(gè)手機(jī)客戶(hù)端，在這個(gè)應(yīng)用程序里簡(jiǎn)單的打開(kāi)了一個(gè)百度的URL(http://m.baidu.com)。該木馬的第二個(gè)版本偽裝成Wi-Fi萬(wàn)能鑰匙應(yīng)用程序，這是一個(gè)非常受歡迎的軟件，使用這個(gè)軟件通常都是在有Wi-Fi的情況下，因此，對(duì)于針對(duì)路由器的惡意軟件，這是一個(gè)絕佳的隱藏地方，非常方便惡意軟件傳播。

攻擊者甚至還專(zhuān)門(mén)制作了一個(gè)軟件介紹網(wǎng)站，用于傳播這個(gè)假冒的“Wi-Fi萬(wàn)能鑰匙”。這個(gè)網(wǎng)站所在的服務(wù)器，同時(shí)也被作為惡意軟件的命令和控制(C&C)服務(wù)器。

感染過(guò)程

---

該Android木馬運(yùn)行后會(huì)執(zhí)行以下操作：

1. 獲取網(wǎng)絡(luò)的BSSID，并且通知C&C服務(wù)器，木馬在該網(wǎng)絡(luò)中已經(jīng)被激活。

2. 試圖獲得ISP（互聯(lián)網(wǎng)服務(wù)提供商）的名稱(chēng)，根據(jù)結(jié)果，確定惡意DNS服務(wù)器用于DNS劫持。有三個(gè)可能的DNS服務(wù)器，分別是：101.200.147.153，112.33.13.11和120.76.249.59。101.200.147.153是默認(rèn)選擇，其他的DNS只有在特殊ISPs下才會(huì)用。

3. 使用下面預(yù)定義好的登錄名和密碼字典，展開(kāi)密碼暴力攻擊：

木馬會(huì)獲取默認(rèn)網(wǎng)關(guān)地址，在JavaScript 腳本的幫助下，它會(huì)用各種帳號(hào)和密碼的組合進(jìn)行嘗試登錄。然后根據(jù)返回的輸入字段的固定字符串，和HTML文檔來(lái)判斷是否成功。這個(gè)JavaScript腳本只在TP-LINK WI-FI路由器上有效。

4. 如果路由器管理接口的密碼被成功破解，該木馬會(huì)進(jìn)入到WAN設(shè)置區(qū)域，并將首選DNS服務(wù)器改為攻擊者控制的惡意DNS服務(wù)器，將備用DNS設(shè)置為8.8.8.8(這是谷歌DNS，在惡意DNS不穩(wěn)定的情況下，可以保證網(wǎng)絡(luò)穩(wěn)定)。JavaScript腳本執(zhí)行是自動(dòng)完成的。為了更好的說(shuō)明它的工作過(guò)程，我對(duì)路由器WEB界面作了一個(gè)截屏，如下圖：

下面是JavaScript腳本，會(huì)自動(dòng)設(shè)置好各項(xiàng)參數(shù)：

5. 如果DNS修改成功，木馬會(huì)向C&C服務(wù)器發(fā)送成功的消息。

木馬會(huì)做什么壞事

---

理解正常DNS工作的基本規(guī)則，能讓我們更深刻認(rèn)識(shí)到DNS被劫持的危險(xiǎn)性，DNS用于將人類(lèi)容易讀取的網(wǎng)絡(luò)資源名稱(chēng)（例如網(wǎng)站域名）解析為IP地址，這個(gè)IP地址用于計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)際通信。例如，“google.com”將會(huì)被解析為“87.245.200.153”，通常，一個(gè)正常的DNS查詢(xún)是按照下圖步驟執(zhí)行的：

當(dāng)使用DNS劫持時(shí)，攻擊者會(huì)改變受害者的TCP/IP設(shè)置，迫使用于DNS查詢(xún)的服務(wù)器被攻擊者控制----一個(gè)惡意的DNS服務(wù)器。因此，上面的執(zhí)行步驟會(huì)變成這樣的：

正如你所看到的，受害人訪問(wèn)的并不是真正的google.com，而是攻擊者想讓你訪問(wèn)的那個(gè)網(wǎng)站。這可能是一個(gè)假的google.com，會(huì)存儲(chǔ)你所有的搜索請(qǐng)求，并發(fā)送給攻擊者，也可以是一個(gè)隨機(jī)的網(wǎng)站，能彈出一堆廣告或惡意軟件，或其他任何東西。使用這個(gè)假的名稱(chēng)解析系統(tǒng)，攻擊者能完全控制該網(wǎng)絡(luò)的流量。

你可能會(huì)問(wèn)——這有什么關(guān)系呢：路由器并沒(méi)有瀏覽網(wǎng)站，因此，危險(xiǎn)在哪里呢？很不幸，按照Wi-Fi路由器最常見(jiàn)的設(shè)置，連接到它上面的設(shè)備，DNS通常會(huì)和Wi-Fi路由器設(shè)置的一樣。從而迫使所有網(wǎng)絡(luò)中的設(shè)備使用相同的惡意DNS。因此，如果獲得一個(gè)路由器DNS設(shè)置的權(quán)限，所有連接到這個(gè)Wi-Fi路由器的設(shè)備的流量，攻擊者都可以控制。

我們發(fā)現(xiàn)，攻擊者做的還是不夠小心，導(dǎo)致他們C&C網(wǎng)站的開(kāi)放部分，留下了內(nèi)部感染統(tǒng)計(jì)信息。

根據(jù)這個(gè)數(shù)據(jù)，他們已經(jīng)成功滲透了1280個(gè)Wi-Fi網(wǎng)絡(luò)，如果這是真的，這些網(wǎng)絡(luò)的所有用戶(hù)的流量是很容易被重定向，非常危險(xiǎn)。

結(jié)論

---

Trojan.AndroidOS.Switcher木馬并沒(méi)有直接攻擊用戶(hù)，它的目標(biāo)是整個(gè)網(wǎng)絡(luò)，暴露在它下面的所有用戶(hù)，很容易遭受到很多手段的攻擊----從釣魚(yú)到二次感染。這種篡改路由器設(shè)置的主要危險(xiǎn)是：即使重啟路由器，DNS設(shè)置仍然會(huì)生效，并且很難發(fā)現(xiàn)DNS被劫持。即使惡意DNS服務(wù)器出現(xiàn)了短暫的故障，IP為8.8.8.8的備用DNS就會(huì)被啟用，用戶(hù)不用察覺(jué)到。

我們建議所有用戶(hù)檢查他們的DNS設(shè)置，檢查DNS地址是不是以下IP地址：

101.200.147.153

112.33.13.11

120.76.249.59

如果你DNS IP地址是其中一個(gè)，請(qǐng)立即進(jìn)行修改，同時(shí)，強(qiáng)烈建議更改路由器的用戶(hù)名和密碼，以防止再次被攻擊。