Proofpoint公司安全人员表示，近期攻击者利用DNSChanger的更新版本发起攻击，试图感染家庭或小型办公室（SOHO）的路由器。攻击者显示虚假广告，利用JavaScript代码从PNG文件中提取HTML代码，将受害者重定向至DNSChanger的登录页面。然后尝试侦测当前路由器的型号及漏洞，并尝试入侵路由器修改DNS配置。

DNSChanger是什么

DNSChanger 是 DNS 劫持木马，从 2007 年开始到 2012 年都在网络活跃。一个曾经的例子，一家爱沙尼亚的公司Rove Digital，通过使用恶意软件感染电脑，用户修改计算机的 DNS 条目指向它自己的流氓域名服务器，然后把广告注入到 Web 页面。在其鼎盛时期，DNSChanger 估计有感染超过 400 万台电脑，带来的欺诈广告收入至少 达到1400 万美元的利润。

此次更新版本的DNSChanger攻击过程

攻击始于合法网站上的一个恶意广告。该广告通过合法广告代理商秘密传播。该恶意广告以桌面和移动用户为攻击目标，向DNSChanger漏洞攻击包发送流量。DNSChanger EK通过webRTC方式向STUN服务器发送请求，并确定攻击目标的本地IP地址。这是因为攻击仅在该IP地址尚不可知或在攻击范围内时实施，否则受害者将被定向至第三方广告代理商的合法广告。

如果满足所需条件，将显示虚假广告，利用JavaScript代码从PNG文件中提取HTML代码，将受害者重定向至DNSChanger的登陆页面。漏洞攻击包再次检查IP地址，加载多个功能以及通过隐写术隐藏在一个小图片中的AES密钥。然后，浏览器定位并识别网络中使用的路由器。

侦查阶段检测出的路由器型号决定了攻击的实施，因为如果这一路由器型号没有可供利用的漏洞，漏洞攻击包将尝试利用默认凭证。若路由器型号可用于发起攻击，漏洞攻击包将尝试在路由器上修改DNS配置，如果可能的话，将向外部地址提供管理端口，置路由器于其他攻击之下。

安全研究人员称，此次攻击的主要目的是从Propellerads、Popcash、Taboola、OutBrain和AdSuppy等主流网络广告代理商处窃取流量。

一旦用户的路由器被入侵，其设备、操作系统或使用的浏览器都会受到恶意广告的影响。同时，安全研究人员表示，路由器上出现了数轮攻击，这些攻击可能跟已持续数日且目前仍正在上演的恶意广告活动有关联。此外，这些攻击似乎还与2015年上半年出现的跨站请求伪造（CSRF）网址嫁接操作相关。

此次更新版本的DNSChanger攻击有向移动端蔓延的趋势

与之前攻击相比，这些新活动有了改进，如对外部地址进行外部DNS解析。此外，攻击者也利用隐写术，隐藏AES密钥。AES密钥用于解密指纹列表/默认凭证、本地解析、以及发送用于攻击路由器的命令的布局。

安全研究人员解释道，此类活动所利用的指纹从去年的55个增至目前的166个。其中，有些指纹用于数个路由器型号。此外，恶意广告链目前正向安卓设备蔓延。除此之外，Proofpoint表示，还发现漏洞攻击包更改了网络规则，使外部地址能够访问管理端口，为其他攻击（包括Mirai僵尸网络）的实施敞开了大门。

如何防止路由器被劫持 Proofpoint专家建议禁用路由器的Web服务 包括远程管理

同时，Proofpoint研究人员表示，无法一一列举受影响的路由器，

“对终端用户来说，最安全的方法就是确保所有已知漏洞均已包含在此类漏洞攻击包中。因此，所有路由器应升级至最新固件版本。”

目前，最新发现的受影响的路由器型号包括D-Link DSL-2740R、COMTREND ADSL Router CT-5367 C01_R12、NetGear WNDR3400v3（此系列的其他型号也可能面临被攻击的风险）、Pirelli ADSL2/2+无线路由器P.DGA4001N和Netgear R6200。

直到最近才披露了Netgear R7000、R6400和其他路由器中存在的零日漏洞，Netgear已开始安装补丁修复此漏洞。然而，Proofpoint表示，截至2016年12月12日，并未在DNSChanger上发现与这些路由器型号相关的指纹。即便如此，仍然建议用户在受影响的Netgear路由器上禁用Web服务器，因为这些指纹可能稍后就会用于发起攻击。

安全研究人员称，“很多情况下，只在SOHO路由器上禁用远程管理即可提升安全性。不过，此次攻击中，攻击者利用了网络设备的有线或无线连接。这样，即使远程管理未开启，攻击者也能成功修改路由器设置。”同时，他们表示，对于此类攻击来说，浏览器的广告拦截插件可提供一层额外防护。