it-swarm.com.de

Habe ich gerade DNS Hijacked bekommen?

Ich bin heute auf meinem Macbook online gegangen und habe festgestellt, dass sich iTunes beschwert hat, dass keine Verbindung zu Apple hergestellt werden kann. Ich habe versucht, mich von meinem Konto ab- und abzumelden, aber seltsamerweise wurde angegeben, dass es sich nicht anmelden kann. Anfangs habe ich nicht viel darüber nachgedacht, da ich dachte, iTunes sei vielleicht fehlerhafter als sonst.

Dann bemerkte ich jedoch etwas wirklich Seltsames, als ich versuchte, www.Apple.com zu besuchen. Mein Browser warnte mich (Google Chrome), dass diese Website nicht sicher sei. Dies begann in meinem Kopf Alarmglocken zu läuten, ich klickte auf "Trotzdem fortfahren" und wurde mit dieser Seite begrüßt:

(Apple Phishing

Als (etwas) Webdesigner/-entwickler achte ich auf die kleinen Details auf einer Website und wusste sofort, dass die Apple Homepage) nicht so aussieht, und sie haben sicherlich nicht dazu aufgefordert Sie haben sich etwas tiefer in den Quellcode der Seite eingegraben und festgestellt, dass der Quellcode für ein großes Unternehmen viel zu vereinfacht war. Das einzige Teil von JS war, zu überprüfen, ob die E-Mail-Adresse vorhanden war das richtige Format.

Ich begann zu vermuten, dass mein Mac-Computer infiziert war, also wechselte ich zu meinem iPhone (im selben WiFi-Netzwerk), versuchte www.Apple.com Und bekam genau dieselbe Seite. Für mich klang dies wie etwas mit DNS zu tun, da die Wahrscheinlichkeit, dass meine beiden Geräte infiziert waren, sehr unwahrscheinlich war. Ich wandte mich dann an meinen Router, um mir die Einstellungen anzusehen.

Und siehe da, als ich mich in die DNS-Einstellungen vertiefte, konnte ich sehen, dass die Einstellungen etwas seltsam aussahen. Ich hatte meine DNS-Einstellungen ursprünglich so eingestellt, dass sie die Server von Google verwenden, obwohl dies vor vielen Jahren festgelegt wurde. Ich wusste, dass dies etwas in der Art von 8.8.*.* War.

In meinen Einstellungen habe ich jedoch die folgenden IPs gefunden:

Primary: 185.183.96.174
Secondary: 8.8.8.8

Ich wusste sofort, dass der DNS geändert wurde, die primäre Adresse sollte 8.8.4.4 Sein. Außer mir im Netzwerk hat niemand Zugriff auf meine Router-Verwaltungsseite. und ich habe den Zugriff auf den Router außerhalb des lokalen Netzwerks deaktiviert Ich kann sehen, dass der Zugriff von außen aktiviert war. Bei der Ersteinrichtung war dieser definitiv ausgeschaltet.

Meine Frage lautet: "Wie konnte das DNS geändert werden/Was kann ich tun, um zu verhindern, dass dies erneut geschieht?

Ich versuche, meine Router-Firmware auf dem neuesten Stand zu halten (obwohl ich zum Zeitpunkt dieses Beitrags möglicherweise 1 Release hinter mir hatte).

Mehr über die Phishing-Site :

Bevor ich die primäre DNS-Einstellung wieder geändert habe und mehr über diese Phishing-Site erfahren wollte, habe ich ping Apple.com Ausgeführt, um festzustellen, dass die IP-Adresse 185.82.200.152 War.

Als ich dies in einen Browser eingab, konnte ich sehen, dass die Person eine Reihe von Websites erstellt hatte, um Anmeldungen zu erfassen. Ich vermute, sie haben ihren Sitz in den USA. Ich glaube nicht, dass Walmart außerhalb der Staaten operiert (zumindest nicht in Großbritannien). Ich habe die IP dem in Dubai ansässigen Webhost gemeldet und warte auf eine Antwort.

Bearbeiten (Router-Details): Asus AC87U, FW Version 3.0.0.4.380.7743 (1 Release dahinter)
Ich habe nicht die Standardkennwörter festgelegt.

Zweites Update:
Der Host hat das Konto gesperrt.

(phishing server directories

139
Imran

Ja, der primäre DNS-Eintrag Ihres Routers wurde auf einen nicht autorisierten DNS-Server verwiesen, damit Geräte in Ihrem Netzwerk aufgelöst werden. Apple.com und andere Domains stattdessen zu Phishing-Sites. Der Router wurde möglicherweise durch eine nicht gepatchte Sicherheitsanfälligkeit in seiner Firmware kompromittiert.

Ich habe ein Asus AC87U, FW Version 3.0.0.4.380.7743 (1 Version dahinter).

Ihre Freilassung ist über ein halbes Jahr alt. Die neueste Version 3.0.0.4.382.50010 (2018-01-25) enthält viele Sicherheitsupdates, einschließlich RCE-Schwachstellen, die hier möglicherweise ausgenutzt wurden.

Sicherheit behoben

  • KRACK-Schwachstelle behoben
  • CVE-2017-14491 behoben: DNS - 2-Byte-Heap-basierter Überlauf
  • Behoben CVE-2017-14492: DHCP - Heap-basierter Überlauf
  • CVE-2017-14493 behoben: DHCP - stapelbasierter Überlauf
  • Behoben CVE-2017-14494: DHCP - Info-Leck
  • Behoben CVE-2017-14495: DNS - OOM DoS
  • Behoben CVE-2017-14496: DNS - DoS Integer-Unterlauf -Fixed CVE-2017-13704: Fehlerkollision
  • Behoben: Vorhersehbare Sitzungstoken (CVE-2017-15654), IP-Validierung protokollierter Benutzer (CVE-2017-15653), Offenlegung angemeldeter Informationen (besonderer Dank für den Beitrag von Blazej Adamczyk)
  • Sicherheitslücken bei der Autorisierung der Web-GUI wurden behoben.
  • AiCloud XSS-Schwachstellen wurden behoben
  • XSS-Schwachstelle behoben. Danke für Joaquims Beitrag.
  • LAN RCE-Sicherheitslücke behoben. Ein unabhängiger Sicherheitsforscher hat diese Sicherheitsanfälligkeit dem SecuriTeam Secure Disclosure-Programm von Beyond Security gemeldet
  • Sicherheitsanfälligkeit bezüglich Remotecodeausführung behoben. Vielen Dank an David Maciejak von Fortinets FortiGuard Labs
  • Smart Sync Stored XSS-Schwachstellen wurden behoben. Vielen Dank für den Beitrag von Guy Arazi. -Fixed CVE-2018-5721 Stapelbasierter Pufferüberlauf.

(Quelle)

Obwohl Asus keine Fehlerdetails veröffentlicht, haben Angreifer möglicherweise einige der in dieser Version gepatchten Sicherheitslücken unabhängig voneinander entdeckt. Unterschiedliche Firmware-Versionen, um zurückzuentwickeln, welche Teile gepatcht wurden, sind normalerweise recht einfach, auch ohne Zugriff auf die Originalquelle. (Dies erfolgt routinemäßig mit Microsoft-Sicherheitsupdates .) Solche "1-Tages-Exploits" sind vergleichsweise billig zu entwickeln.

Dies scheint auch Teil eines weiter verbreiteten Angriffs der letzten Zeit zu sein. Dieser Tweet von vor drei Tagen scheint einen Vorfall zu beschreiben, der dem sehr ähnlich ist, was Sie erlebt haben:

Mein ASUS-Heimrouter wurde anscheinend gehackt und ein nicht autorisierter DNS-Server in Dubai wurde zur Konfiguration hinzugefügt. Websites wie http://Apple.com wurden auf eine Phishing-Website umgeleitet, die ich (glaube ich) abgefangen habe, bevor meine Kinder ihre Anmeldeinformationen preisgegeben haben. Überprüfen Sie Ihre Router Kinder.

( @ harlanbarnes auf Twitter , 2018-03-09)


[...] Mein Browser warnte mich (Google Chrome), dass diese Website nicht sicher sei. [...] Ich begann zu vermuten, dass mein Mac-Computer infiziert war [...]

Die Tatsache, dass Sie Zertifikatswarnungen erhalten haben, macht es weniger wahrscheinlich, dass ein Angreifer auf Ihren Computer gelangt ist. Andernfalls hätten sie möglicherweise Probleme mit Ihrem lokalen Zertifikatspeicher oder den internen Browsern des Browsers haben und müssten keine offensichtliche DNS-Änderung vornehmen.

Außer mir im Netzwerk hat niemand Zugriff auf meine Router-Verwaltungsseite

Auch wenn Ihre Router-Schnittstelle von außerhalb Ihres Netzwerks nicht sichtbar ist, kann sie für eine Reihe von Angriffen anfällig sein. Nehmen Sie als Beispiel dieser Exploit für die Ausführung von beliebigem Code des Netgear-Routers von vor einiger Zeit, bei dem Netgear-Router beliebige Befehle ausführen, die als Teil der URL gesendet wurden.

Die Idee hier ist, Sie dazu zu bringen, eine vorbereitete Website zu besuchen, auf der Sie den Angriff selbst durchführen können, indem Sie eine speziell gestaltete Cross-Origin-Anfrage an die Router-Schnittstelle senden. Dies kann passieren, ohne dass Sie es bemerken, und erfordert nicht, dass die Schnittstelle per Fernzugriff zugänglich ist.

Letztendlich enthüllen die angegebenen Informationen nicht den genauen Angriffspfad. Es ist jedoch plausibel, dass sie Schwachstellen in Ihrer veralteten Firmware-Version ausgenutzt haben. Als Endbenutzer sollten Sie zumindest Ihre Firmware so schnell wie möglich aktualisieren, bei Bedarf die Werkseinstellungen zurücksetzen und die Router-Schnittstelle passwortgeschützt halten, auch wenn nur über das Intranet darauf zugegriffen werden kann.

124
Arminius

Es ist offensichtlich, dass jemand die DNS-Einträge in Ihrem Router geändert hat, wahrscheinlich unter Verwendung der Standardanmeldeinformationen. Sie sollten die Werkseinstellungen zurücksetzen, Ihre Firmware aktualisieren, die Standardanmeldeinformationen ändern und den externen Zugriff darauf deaktivieren.

Und ja, dass DNS 185.183.96.174 kommt von Hackern, die noch leben ...

Dig Apple.com @185.183.96.174

Dies wird zurückkehren:

Apple.com.      604800  IN  A   185.82.200.152

Und alle gefälschten Seiten sitzen dort hxxp://185.82.200.152/

21
Mirsad

Eine Sache, die ich in diesem Fall dringend empfehlen würde, ist der Versuch, Ihren Router mit etwas wie DD-WRT (Open Source Firmware) zu flashen. In den DD-WRT-Foren ist ein Beta-Build für Ihren Router aufgeführt . Diese Builds sind häufig weitaus weniger anfällig für solche Invasionen von außen, da sie mit Best Practices erstellt wurden. Im Gegensatz zu diese lange Liste anfälliger ASUS-Router (die das von Ihnen beschriebene Problem auflistet).

40 Modelle der Asus RT-Reihe von Heimroutern sind von fünf Sicherheitslücken betroffen, die es einem Angreifer ermöglichen, das Routerkennwort zu erhalten, die Routereinstellungen ohne Authentifizierung zu ändern, Code auszuführen und Routerdaten zu filtern.

Auf der anderen Seite waren sie zumindest erst nach Apple Anmeldeinformationen anstelle von verbraucht Ihre gesamte Bandbreite

Ein weiterer Vorschlag ist der Kauf eines Routers, der sich besser patchen kann. Ich habe vor einiger Zeit ein Amplifi gekauft und sein Touchscreen benachrichtigt mich, wenn ich ein Firmware-Update habe (zwei Klicks und ich bin gepatcht).

6
Machavity