翻譯：pwn_361

預(yù)估稿費(fèi)：170RMB（不服你也來投稿啊?。?/p>

投稿方式：發(fā)送郵件至linwei##，或登陸網(wǎng)頁版在線投稿

概述

我們懷著永無止境的追求，去保護(hù)世界免受惡意軟件威脅。近日，我們發(fā)現(xiàn)了一個(gè)行為不端的Android木馬。盡管惡意軟件針對Android操作系統(tǒng)，早已不是一個(gè)新鮮事了，但是我們發(fā)現(xiàn)的這個(gè)木馬相當(dāng)?shù)莫?dú)特。因?yàn)樗⒉还粲脩?，它的攻擊目?biāo)是用戶連接的Wi-Fi網(wǎng)絡(luò)，或者，確切地說，攻擊目標(biāo)是為網(wǎng)絡(luò)服務(wù)的無線路由器。這個(gè)木馬名字是“Trojan.AndroidOS.Switcher”，該木馬會針對路由器的Web管理頁面，進(jìn)行密碼暴力破解攻擊。如果攻擊成功，該惡意軟件會在路由器設(shè)置中更改DNS服務(wù)器的地址。從而將用戶的所有DNS查詢，從被攻擊的Wi-Fi網(wǎng)絡(luò)重定向到攻擊者那里(這樣的攻擊也被稱為DNS劫持)。因此，下面我們詳細(xì)解釋一下Switcher如何進(jìn)行密碼暴力破解攻擊，并進(jìn)入路由器，進(jìn)行DNS劫持。

聰明的小騙子

迄今為止，我們已經(jīng)看到了這個(gè)木馬的兩個(gè)版本：

該木馬的第一個(gè)版本)，將自己偽裝成了百度搜索引擎的一個(gè)手機(jī)客戶端，在這個(gè)應(yīng)用程序里簡單的打開了一個(gè)百度的URL(http://m.baidu.com)。該木馬的第二個(gè)版本偽裝成Wi-Fi萬能鑰匙應(yīng)用程序，這是一個(gè)非常受歡迎的軟件，使用這個(gè)軟件通常都是在有Wi-Fi的情況下，因此，對于針對路由器的惡意軟件，這是一個(gè)絕佳的隱藏地方，非常方便惡意軟件傳播。

攻擊者甚至還專門制作了一個(gè)軟件介紹網(wǎng)站，用于傳播這個(gè)假冒的“Wi-Fi萬能鑰匙”。這個(gè)網(wǎng)站所在的服務(wù)器，同時(shí)也被作為惡意軟件的命令和控制(C&C)服務(wù)器。

感染過程

該Android木馬運(yùn)行后會執(zhí)行以下操作：

1. 獲取網(wǎng)絡(luò)的BSSID，并且通知C&C服務(wù)器，木馬在該網(wǎng)絡(luò)中已經(jīng)被激活。

2. 試圖獲得ISP（互聯(lián)網(wǎng)服務(wù)提供商）的名稱，根據(jù)結(jié)果，確定惡意DNS服務(wù)器用于DNS劫持。有三個(gè)可能的DNS服務(wù)器，分別是：101.200.147.153，112.33.13.11和120.76.249.59。101.200.147.153是默認(rèn)選擇，其他的DNS只有在特殊ISPs下才會用。

3. 使用下面預(yù)定義好的登錄名和密碼字典，展開密碼暴力攻擊：

木馬會獲取默認(rèn)網(wǎng)關(guān)地址，在JavaScript 腳本的幫助下，它會用各種帳號和密碼的組合進(jìn)行嘗試登錄。然后根據(jù)返回的輸入字段的固定字符串，和HTML文檔來判斷是否成功。這個(gè)JavaScript腳本只在TP-LINK WI-FI路由器上有效。

4. 如果路由器管理接口的密碼被成功破解，該木馬會進(jìn)入到WAN設(shè)置區(qū)域，并將首選DNS服務(wù)器改為攻擊者控制的惡意DNS服務(wù)器，將備用DNS設(shè)置為8.8.8.8(這是谷歌DNS，在惡意DNS不穩(wěn)定的情況下，可以保證網(wǎng)絡(luò)穩(wěn)定)。JavaScript腳本執(zhí)行是自動完成的。為了更好的說明它的工作過程，我對路由器WEB界面作了一個(gè)截屏，如下圖：

下面是JavaScript腳本，會自動設(shè)置好各項(xiàng)參數(shù)：

5. 如果DNS修改成功，木馬會向C&C服務(wù)器發(fā)送成功的消息。

木馬會做什么壞事

理解正常DNS工作的基本規(guī)則，能讓我們更深刻認(rèn)識到DNS被劫持的危險(xiǎn)性，DNS用于將人類容易讀取的網(wǎng)絡(luò)資源名稱（例如網(wǎng)站域名）解析為IP地址，這個(gè)IP地址用于計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)際通信。例如，“google.com”將會被解析為“87.245.200.153”，通常，一個(gè)正常的DNS查詢是按照下圖步驟執(zhí)行的：

當(dāng)使用DNS劫持時(shí)，攻擊者會改變受害者的TCP/IP設(shè)置，迫使用于DNS查詢的服務(wù)器被攻擊者控制----一個(gè)惡意的DNS服務(wù)器。因此，上面的執(zhí)行步驟會變成這樣的：

正如你所看到的，受害人訪問的并不是真正的google.com，而是攻擊者想讓你訪問的那個(gè)網(wǎng)站。這可能是一個(gè)假的google.com，會存儲你所有的搜索請求，并發(fā)送給攻擊者，也可以是一個(gè)隨機(jī)的網(wǎng)站，能彈出一堆廣告或惡意軟件，或其他任何東西。使用這個(gè)假的名稱解析系統(tǒng)，攻擊者能完全控制該網(wǎng)絡(luò)的流量。

你可能會問——這有什么關(guān)系呢：路由器并沒有瀏覽網(wǎng)站，因此，危險(xiǎn)在哪里呢？很不幸，按照Wi-Fi路由器最常見的設(shè)置，連接到它上面的設(shè)備，DNS通常會和Wi-Fi路由器設(shè)置的一樣。從而迫使所有網(wǎng)絡(luò)中的設(shè)備使用相同的惡意DNS。因此，如果獲得一個(gè)路由器DNS設(shè)置的權(quán)限，所有連接到這個(gè)Wi-Fi路由器的設(shè)備的流量，攻擊者都可以控制。

我們發(fā)現(xiàn)，攻擊者做的還是不夠小心，導(dǎo)致他們C&C網(wǎng)站的開放部分，留下了內(nèi)部感染統(tǒng)計(jì)信息。

根據(jù)這個(gè)數(shù)據(jù)，他們已經(jīng)成功滲透了1280個(gè)Wi-Fi網(wǎng)絡(luò)，如果這是真的，這些網(wǎng)絡(luò)的所有用戶的流量是很容易被重定向，非常危險(xiǎn)。

結(jié)論

Trojan.AndroidOS.Switcher木馬并沒有直接攻擊用戶，它的目標(biāo)是整個(gè)網(wǎng)絡(luò)，暴露在它下面的所有用戶，很容易遭受到很多手段的攻擊----從釣魚到二次感染。這種篡改路由器設(shè)置的主要危險(xiǎn)是：即使重啟路由器，DNS設(shè)置仍然會生效，并且很難發(fā)現(xiàn)DNS被劫持。即使惡意DNS服務(wù)器出現(xiàn)了短暫的故障，IP為8.8.8.8的備用DNS就會被啟用，用戶不用察覺到。

我們建議所有用戶檢查他們的DNS設(shè)置，檢查DNS地址是不是以下IP地址：

101.200.147.153

112.33.13.11

120.76.249.59

如果你DNS IP地址是其中一個(gè)，請立即進(jìn)行修改，同時(shí)，強(qiáng)烈建議更改路由器的用戶名和密碼，以防止再次被攻擊。