• 發布單位:TWCERT/CC
• 更新日期:2020-03-27
• 點閱次數:491

家用路由器可以被用來竊取使用者的認證憑據，只是大多數人並不知道。壞蛋們已經找到方法來用網域名稱系統（DNS）變更惡意軟體來將最不受注意的網路路由器變成他們惡意計畫裡的重要工具。
有路由器會在出貨時帶有惡意DNS伺服器設定。在這次的情況裡，惡意軟體被用來篡改路由器和其DNS設定。當使用者想連上正常的銀行網站或其他壞人設定的網頁時，惡意軟體會將使用者導到惡意版本的網頁。這讓網路犯罪分子可以竊取使用者的帳號認證憑據和密碼等資訊。

越來越多的相關惡意網 家用路由器可以被用來竊取使用者的認證憑據，只是大多數人並不知道。壞蛋們已經找到方法來用網域名稱系統（DNS）變更惡意軟體來將最不受注意的網路路由器變成他們惡意計畫裡的重要工具。
有路由器會在出貨時帶有惡意DNS伺服器設定。在這次的情況裡，惡意軟體被用來篡改路由器和其DNS設定。當使用者想連上正常的銀行網站或其他壞人設定的網頁時，惡意軟體會將使用者導到惡意版本的網頁。這讓網路犯罪分子可以竊取使用者的帳號認證憑據和密碼等資訊。

越來越多的相關惡意網站出現在巴西（佔了近88%的感染數量）、美國和日本。這些網站會在內部網路執行瀏覽器腳本來對受害者的路由器進行暴力攻擊。再藉由正確認證憑據連上管理界面，該腳本發送帶有惡意DNS伺服器IP地址的HTTP請求到路由器。一旦惡意版本設定替換掉目前的IP地址就完成了感染。除了瀏覽器暫存檔外，沒有檔案會在受害者電腦上建立，不需要使用持續性技術，沒有改變什麼。

修改DNS設定代表使用者不知道他們所要連上的是可信網站的山寨版。不變更預設密碼的使用者很容易遭受此類攻擊。

參考連結： http://blog.trendmicro.com.tw/?p=12805