我今天在Macbook上上网,发现我的iTunes抱怨它无法连接到Apple,我尝试注销并注销我的帐户,但很奇怪,它说它无法登录。一开始我并没有考虑太多,因为我以为可能是iTunes比平常更容易出故障。

但是,当我尝试访问www.apple.com时,我发现了一些很奇怪的东西。我的浏览器警告我(Google Chrome)说此网站不安全。这开始在我脑海中敲响警钟,我单击“仍然继续”,并看到以下页面:

请注意网站上的小细节,我立即知道这不是Apple主页的样子,他们当然也没有提示您登录他们的主页。我对页面的源代码进行了更深入的研究,发现对于大型公司而言,源代码过于简化。 JS唯一的一件事就是验证电子邮件地址的格式正确。

我开始怀疑我的Mac机已被感染,因此我切换到iPhone(在同一WiFi网络上) ),尝试了www.apple.com,并显示了完全相同的页面。对我来说,这听起来像与DNS有关,因为我的两个设备都被感染的可能性很小。然后,我转向路由器以查看其设置。

瞧瞧,当深入研究DNS设置时,我可以看到这些设置看起来有些奇怪。我最初将我的DNS设置设置为使用Google的服务器,尽管这是很多年前设置的,但我知道这与8.8.*.*类似。 />
Primary: 185.183.96.174
Secondary: 8.8.8.8


我立刻知道DNS已更改,主要地址应该是8.8.4.4。除了我在网络上,没有人可以访问我的路由器管理页面,并且我已禁用对本地网络之外的路由器的访问,我可以看到外部访问已启用,在初始设置中,此访问权限已明确关闭。

我的问题是:“如何更改DNS /如何防止再次发生?

我尝试使路由器固件保持最新状态(尽管在撰写本文时,我可能还落后1个版本)。

有关钓鱼网站的更多信息:

在我更改主DNS设置之前,了解有关此网络钓鱼站点的更多信息,因此我运行ping apple.com来查找IP地址为185.82.200.152。捕获登录信息。我怀疑它们位于美国;我不认为沃尔玛在美国以外的地区(至少不在英国运营)。等待响应。

编辑(路由器详细信息):
Asus AC87U,固件版本3.0.0.4.380.7743(后面有1个发行版)
我没有设置默认密码。

第二次更新:
主机已暂停该帐户。



评论

这不是DNS欺骗或浏览器劫持。路由器中的DNS条目已更改。这是直截了当的。唯一的问题是DNS条目是如何更改的。

您是否在路由器上设置了默认的管理员密码?

我已经更新了我的帖子,看来外部WAN连接已打开。我更改了路由器的默认用户名和密码。

只需注意:在这种情况下,除非您具有独立的个人资料(例如,使用私人模式或单独的用户帐户),否则请勿按“仍然继续”。继续进行下去,攻击者可能会窃取您的cookie并毒害您的缓存。如果尚未隔离,建议删除浏览器缓存并考虑网站上的cookie被盗。

请注意,截屏苹果永远不会说版权2014

#1 楼

是的,您的路由器的主要DNS条目已指向恶意DNS服务器,以使网络中的设备将apple.com和其他域解析为钓鱼网站。路由器可能由于其固件中未修补的漏洞而受到损害。


您的发布已超过半年。最新版本3.0.0.4.382.50010(2018-01-25)附带了许多安全修复程序,包括可能已在此处利用的RCE漏洞。


安全已修复


修复了KRACK漏洞
修复了CVE-2017-14491:DNS-基于2字节堆的溢出
修复了CVE-2017-14492:DHCP-基于堆的溢出
修复了CVE-2017- 14493:DHCP-基于堆栈的溢出
修复CVE-2017-14494:DHCP-信息泄漏
修复CVE-2017-14495:DNS-OOM DoS
修复CVE-2017-14496:DNS- DoS整数下溢
-修复CVE-2017-13704:错误冲突
修复了可预测的会话令牌(CVE-2017-15654),已登录的用户IP验证(CVE-2017-15653),已登录的信息泄露(特别感谢Blazej Adamczyk的贡献)
修复了Web GUI授权漏洞。
修复了AiCloud XSS漏洞
修复了XSS漏洞。感谢Joaquim的贡献。
修复了LAN RCE漏洞。一位独立的安全研究人员已将此漏洞报告给Beyond Security的SecuriTeam Secure
披露程序
修复了远程执行代码漏洞。多亏了Fortinet的FortiGuard Labs的David Maciejak
修复了智能同步存储的XSS漏洞。感谢盖伊·阿拉齐(Guy Arazi)的贡献。
-修复了CVE-2018-5721基于堆栈的缓冲区溢出。



(源代码)

尽管Asus并未发布错误详细信息,但攻击者可能已经独立发现了该版本中修补的某些漏洞。即使没有原始源的访问权限,发布发行版本不同的固件来反向工程补丁的零件通常也很简单。 (这通常是通过Microsoft安全更新来完成的。)此类“一日漏洞”的开发成本相对较低。

另外,这似乎是近期更广泛的攻击的一部分。来自三天前的此推文似乎描述了与您所经历的事件非常相似的事件:它将http://apple.com之类的网站重定向到一个网络钓鱼网站(我认为),我在我的孩子放弃其凭据之前就发现了该网站。检查您的路由器孩子。


(@harlanbarnes on Twitter,2018-03-09)



[...]我的浏览器警告我(谷歌浏览器)说此网站不安全。 [...]我开始怀疑我的Mac机是否已被感染[...]


您得到证书警告的事实使攻击者成功获取病毒的可能性降低进入您的机器。否则,他们可能会弄乱您的本地证书存储或浏览器内部,并且不需要进行公然的DNS更改。


除了我以外,没有人可以访问我的路由器管理页面在网络上


即使从网络外部看不到您的路由器接口,它也可能容易受到多种攻击。例如,以该Netgear路由器任意代码执行漏洞为例,该漏洞是由Netgear路由器执行作为URL的一部分发送的任意命令的。

这里的想法是诱使您访问准备好的网站,该网站通过向路由器接口发出特制的跨域请求来使您自己进行攻击。可能会在没有引起您注意的情况下发生这种情况,并且不需要界面可以远程访问。但是他们利用您过时的固件版本中的漏洞似乎是合理的。作为最终用户,您至少应该尽快更新固件,必要时进行出厂重置,并且即使只能从Intranet访问路由器接口,也要对其进行密码保护。

评论


感谢您提供链接,我可以确认这与您的Twitter链接中提到的攻击相同(我已向主机报告了)。我认为我们不确定他们是如何做到的,但是您可能会建议他们对更新进行反向工程。

–伊朗
18年3月12日在1:45

并更改您的Apple密码(当OP登录到躲藏站点时)

–轨道轻赛
18年3月13日在17:14

@LightnessRacesinOrbit从未登录到网站,仅在iTunes应用程序上。我有2FA,所以我应该没事。

–伊朗
18年3月13日在17:21

@Imran:实际上,您已经为攻击者提供了用户名和密码。没有“应该没事”。更改您的密码。

–轨道轻赛
18年3月13日在17:22

虽然我同意应该将PW更改为安全的一面,但尚不清楚Imran是否向攻击者提供了登录凭据。他们说,他们并没有在网站上输入表单,而只是在iTunes中。虽然我不知道该应用程序执行身份验证的方式,但它可能使用https连接到iTunes服务器。由于登录不起作用,我估计ssl握手失败,因此从未发送包含凭据的请求。我不是安全专家,但是我认为握手是在传输任何数据(例如凭据)之前执行的,是吗?但是还是要改变它!

–下
18年3月14日在8:25

#2 楼

很明显,有人更改了路由器内部的DNS条目,可能使用了默认凭据。您应该恢复出厂设置,更新固件,更改默认凭据并禁止外部访问它。

是的,DNS 185.183.96.174来自黑客,仍然活跃...

dig apple.com @185.183.96.174


这将返回:

apple.com.      604800  IN  A   185.82.200.152


所有假网站都坐在那里

评论


对于可能很愚蠢的问题,我预先表示歉意,但是hxxp是什么意思?

–伊万卡·托多罗娃(Ivanka Todorova)
18年3月13日在16:27

发布恶意链接只是一种惯例。使恶意链接不可点击,以避免意外点击它。

–迈萨德
18年3月13日在16:51

@IvankaTodorova x是倾斜45度的t。 :)

– Barmar
18年3月13日在20:41

@Barmar需要大量的想象力= D

–伊万卡·托多罗娃(Ivanka Todorova)
18年3月14日在8:12

#3 楼

在这种情况下,我强烈建议您尝试使用DD-WRT(开源固件)之类的东西来刷新路由器。 DD-WRT论坛列出了您路由器的beta版本。这些构建通常是采用最佳实践构建的,因此通常很少受到外部入侵的影响。与此一长串易受攻击的ASUS路由器(列出您所描述的问题)形成对比。


40种家用路由器的Asus RT系列产品受到五个漏洞的影响,攻击者可以利用这些漏洞获取路由器密码,更改路由器设置而不进行身份验证,执行代码并泄露路由器数据。


从好的方面来看,至少它们只是在获得Apple凭证之后,才占用了您所有的带宽

另一个建议是购买一个路由器可以更好地修补自己。我不久前买了一个Amplifi,当我进行固件更新时(它被轻按了两下,则它的触摸屏会通知我)。