🤙🏻 🧚🏼 🛡️ सालिट वायरस राउटर की DNS सेवा को संशोधित करता है 👩🏿‍🤝‍👩🏽 🎳 👨🏼‍🏭

Win32 / Sality फ़ाइल infector परिवार एक लंबे समय के लिए जाना जाता है और 2003 से एक P2P बॉटनेट का उपयोग कर रहा है। Sality एक वायरस के रूप में या अन्य दुर्भावनापूर्ण कार्यक्रमों के लिए एक डाउनलोडर के रूप में कार्य कर सकता है जो स्पैम भेजने, DDoS को व्यवस्थित करने, विज्ञापन ट्रैफ़िक उत्पन्न करने या वीओआईपी हैक करने के लिए उपयोग किए जाते हैं। खातों। नम्रता नेटवर्क पर संचारित कमानों और फाइलों को आरएसए (तथाकथित डिजिटल हस्ताक्षर) का उपयोग करके एन्क्रिप्ट किया गया है। मैलवेयर के मॉड्यूलर आर्किटेक्चर, साथ ही बॉटनेट की स्थायित्व, यह दर्शाता है कि हमलावरों ने इस दुर्भावनापूर्ण कोड के निर्माण के लिए कितनी अच्छी तरह संपर्क किया था।

हमने लंबे समय तक Win32 / सालिटी बॉटनेट की निगरानी की और 115,000 से अधिक उपलब्ध आईपी पतों का अवलोकन किया जो बॉटनेट को चालू और समन्वित रखने के लिए सुपर- पीयरेड थे। हमने समान समान घटक देखे जो उन्होंने संक्रमित कंप्यूटरों पर डाउनलोड किए। उनमें से कुछ समान थे और केवल व्यवहार में भिन्न थे। हालांकि, हाल ही में, हमने पहले से अनजान गुणों के साथ एक नया घटक खोजा है। पहले से ही प्रसिद्ध नम्रता घटकों के विपरीत, जिनका उपयोग एफ़टीपी खातों से पासवर्ड चुराने और स्पैम भेजने के लिए किया जाता है, इसमें राउटर के मुख्य डीएनएस सर्वर (डीएनएस अपहरण) के पते को बदलने की क्षमता होती है। हमारे टेलीमेट्री डेटा के अनुसार, यह घटक अक्टूबर 2013 के अंत में दिखाई दिया। इसे Win32 / Rbrute कहा जाता है।

Win32 / RBrute घटक Win32 / Sality में वास्तव में नई सुविधाएँ जोड़ता है। WinET / RBrute.A के रूप में ESET द्वारा पाया गया पहला मॉड्यूल, मुख्य DNS सर्वर के रिकॉर्ड को बदलने के लिए IP पतों के एक विशिष्ट सेट को स्कैन करके राउटर के कंट्रोल पैनल के वेब पेजों को खोजता है। नए फर्जी डीएनएस सर्वर उपयोगकर्ताओं को एक नकली Google क्रोम ब्राउज़र इंस्टॉलेशन पृष्ठ पर पुनर्निर्देशित करता है जब वे उन वेबसाइटों तक पहुंचते हैं जिनमें डोमेन नाम में "google" या "facebook" शब्द होते हैं। एक ब्राउज़र के बजाय, उपयोगकर्ता को Win32 / Sality की एक दुर्भावनापूर्ण फ़ाइल डाउनलोड की जाती है। इस प्रकार, हमलावर अपने नए प्रतिष्ठानों और इस मैलवेयर परिवार के बोटनेट विस्तार को सुरक्षित करते हैं।

आईपी एड्रेस जो कि समझौता राउटर पर प्राथमिक DNS सर्वर के रूप में उपयोग किया जाता है, वास्तव में Win32 / Sality नेटवर्क का हिस्सा है। दुर्भावनापूर्ण प्रोग्राम का एक और संशोधन है - Win32 / RBrute.B , यह समझौता किए गए कंप्यूटरों पर Sality द्वारा स्थापित किया गया है और उन उपयोगकर्ताओं के लिए एक नकली Google Chrome ब्राउज़र इंस्टॉलर वितरित करने के लिए DNS या HTTP प्रॉक्सी सर्वर के रूप में कार्य कर सकता है जिन्हें दुर्भावनापूर्ण राउटर के माध्यम से पुनर्निर्देशित किया गया था।

हम कह सकते हैं कि मुख्य डीएनएस राउटर को संशोधित करने की तकनीक विभिन्न उद्देश्यों के लिए पहले से ही काफी सामान्य है, ऑनलाइन बैंकिंग डेटा की चोरी से शुरू होती है और ग्राहक विक्रेता वेबसाइटों को अवरुद्ध करने वाले क्लाइंट कनेक्शन के साथ समाप्त होती है। यह विभिन्न राउटर मॉडल के फर्मवेयर में हाल ही में कमजोरियों का पता लगाने के संबंध में विशेष रूप से प्रासंगिक हो गया है। Win32 / RBrute.A C और C सर्वर से प्राप्त IP पतों की श्रेणी को स्कैन करके राउटर के प्रशासनिक वेब पेजों को खोजने की कोशिश करता है। भविष्य में, इस ऑपरेशन की एक रिपोर्ट C & C सर्वर को वापस भेज दी जाएगी। हमारे विश्लेषण के समय, Win32 / RBrute.A का उपयोग निम्नलिखित राउटर मॉडल तक पहुंच प्राप्त करने के लिए किया गया था:

सिस्को राउटर जिसमें HTTP प्रोटोकॉल के दायरे में स्ट्रिंग "level_15_" होता है
डी-लिंक डीएसएल -2520 यू
डी-लिंक डीएसएल -2542 बी
डी-लिंक डीएसएल -2600 यू
हुआवेई इकोलाइफ
TP-LINK
टीपी-लिंक टीडी -8816
टीपी-लिंक टीडी -8817
टीपी-लिंक टीडी -8817 2.0
टीपी-लिंक टीडी -8840 टी
टीपी-लिंक टीडी -8840 टी 2.0
TP-Link TD-W8101G
टीपी-लिंक टीडी-डब्ल्यू 8151 एन
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
जेडटीई ZXV10 W300

यदि वेब पेज पाया जाता है, तो C & C सर्वर बॉट को बल के लिए दस पासवर्डों की एक छोटी सूची भेजता है। यदि बॉट ने सही पासवर्ड चुना है और राउटर के खाते में प्रवेश कर सकता है, तो यह DNS सर्वर की सेटिंग्स को बदलने के लिए आगे बढ़ेगा। यह ध्यान रखना दिलचस्प है कि प्रशासनिक पैनल के खाते तक पहुंच प्राप्त करने के लिए, किसी भी भेद्यता का दोहन किए बिना केवल पासवर्डों की गणना करने की विधि का उपयोग किया जाता है। प्रमाणीकरण उपयोगकर्ता के नाम "व्यवस्थापक" या "समर्थन" के साथ किया जा सकता है, हालांकि पिछले संस्करणों ने भी "रूट" और "प्रशासक" का उपयोग करने की कोशिश की थी। निम्नलिखित पासवर्ड की एक सूची है जो C & C सर्वर से बॉट में स्थानांतरित की गई थी:

खाली तार
111111
12345
123456
12345678
abc123
व्यवस्थापक
प्रशासक
उपभोक्ता
अजगर
Gizmodo
iqrquksm
letmein
Lifehack
बंदर
पासवर्ड
qwerty
जड़
soporteETB2006
समर्थन
tadpassword
trustno1
we0Qilhxtx4yLGZPhokY

सफल लॉगिन के मामले में, दुर्भावनापूर्ण कोड प्राथमिक DNS सर्वर के पते को एक नकली में बदल देता है, सी एंड सी पर सफल संक्रमण के संचालन की रिपोर्ट करता है और आईपी पते की सीमा को स्कैन करना जारी रखता है। DNS के इस तरह के संशोधन किए जाने के बाद, एड्रेस रिसोल्वर के सभी अनुरोध इस हमलावर सर्वर के माध्यम से जाएंगे, जो उन्हें Google Chrome ब्राउज़र के नकली इंस्टॉलर के साथ वेब पेजों पर रिले करेगा, यदि मूल अनुरोध में "फेसबुक" या "Google" डोमेन मौजूद हैं।

अंजीर। एक डोमेन के सफल पुनर्निर्देशन के मामले में वेब पेज जिसमें "Google" शब्द शामिल है।

यह मैलवेयर कुछ हद तक प्रसिद्ध DNSChanger की याद दिलाता है, जो उपयोगकर्ताओं को नकली सॉफ़्टवेयर के विज्ञापनों के माध्यम से मैलवेयर इंस्टॉल करने के लिए पुनर्निर्देशित करता है। उपयोगकर्ता दुर्भावनापूर्ण DNS के माध्यम से स्वयं विज्ञापन साइटों पर पुनर्निर्देशित किया गया था।

सेलिटी के मामले में, जैसे ही कंप्यूटर उपयोगकर्ता द्वारा लॉन्च किए गए Google क्रोम ब्राउज़र के एक नकली इंस्टॉलर के माध्यम से संक्रमित होता है, विंडोज में DNS सर्वर सेटिंग को दुर्भावनापूर्ण कोड द्वारा नाम मानदंड रजिस्ट्री पैरामीटर को संशोधित करके HKLM \ SYSTEM \ ControlSet001 खंड में निर्दिष्ट मान में बदल दिया जाता है। \ Services \ Tcpip \ Parameters \ Interfaces \ {नेटवर्क इंटरफ़ेस UUID}। यह IP पता दुर्भावनापूर्ण नहीं है और वैकल्पिक Google DNS सर्वर से संबंधित है ।

DNS सर्वर को स्थापित करने का ऑपरेशन पूरा होने के बाद, इस पीसी के लिए राउटर का DNS रिकॉर्ड बेकार हो जाता है और ओएस रजिस्ट्री में सर्वर को स्पष्ट रूप से पंजीकृत करेगा। दूसरी ओर, इस राउटर से जुड़ने की कोशिश करने वाले अन्य कंप्यूटर दुर्भावनापूर्ण पुनर्निर्देशन से गुजरेंगे, क्योंकि राउटर का DNS रिकॉर्ड अभी भी संशोधित है।

Win32 / Sality दुर्भावनापूर्ण कोड जो राउटर की DNS सेवा को संशोधित करता है, उसमें दो निष्पादन योग्य फाइलें होती हैं: एक राउटर एड्रेस स्कैनर और एक DNS / HTTP सर्वर।

पता स्कैनर को ES32 द्वारा Win32 / RBrute.A के रूप में पाया गया है। अपने काम की शुरुआत में, वह "19867861872901047sdf" नाम के साथ एक म्यूटेक्स बनाता है, जो उसे दुर्भावनापूर्ण प्रोग्राम के पहले से चल रहे उदाहरण को ट्रैक करने की अनुमति देता है। फिर हर मिनट वह कमांड प्राप्त करने के लिए कोड में हार्ड-वायर्ड आईपी पते की जांच करता है। कमांड दो प्रकार की हो सकती है: IP पते की श्रेणी की जाँच करें या DNS सेवा को संशोधित करने के लिए राउटर के नियंत्रण कक्ष के खाते में लॉग इन करने का प्रयास करें। पता श्रेणी जांच निर्देश रेंज की शुरुआत के आईपी पते और पते की संख्या के साथ आता है। Win32 / RBrute.A त्रुटि 401 प्राप्त करने की आशा के साथ, टीसीपी पोर्ट 80 को HTTP जीईटी अनुरोध भेजेगा। राउटर मॉडल को एचटीटीपी प्रोटोकॉल के दायरे से निकाला जाएगा (अधिक सटीक रूप से, इसकी प्रमाणीकरण योजना देखें)। यदि एक राउटर पाया जाता है, तो मैलवेयर अपना आईपी पता वापस C & C को भेज देता है।

अंजीर। Win32 / RBrute.A का फ़्लोचार्ट।

आईपी एड्रेस को C & C में भेजे जाने के बाद, बॉट को राउटर कंट्रोल पैनल में प्रवेश करने की कमांड मिलती है। यह C & C द्वारा जारी लॉगिन और पासवर्ड का उपयोग करता है। सफल लॉगिन पर, दुर्भावनापूर्ण कोड प्राथमिक DNS सर्वर के पते को संशोधित करता है, जो अब दूसरे RBrute संशोधन - Win32 / RBrute.B से संक्रमित एक अन्य कंप्यूटर को इंगित करेगा।

पहले, हमने एक मैलवेयर घटक का उल्लेख किया था जो DNS / HTTP सर्वर के रूप में कार्य करता है। यह Win32 / RBrute.B के रूप में पाया गया है और इसके कोड निष्पादन को तीन धाराओं में विभाजित किया गया है: नियंत्रण स्ट्रीम, DNS सर्वर स्ट्रीम और HTTP सर्वर स्ट्रीम। यद्यपि यह दुर्भावनापूर्ण घटक एक साथ DNS और HTTP दोनों सेवाओं को लॉन्च कर सकता है, वास्तव में, यह उनमें से एक को बेतरतीब ढंग से उत्पन्न मूल्य का उपयोग शुरू करने के लिए चुनता है। सूत्र में विशेष स्थिरांक का उपयोग यह सुनिश्चित करने के लिए किया जाता है कि 80% मामलों में बॉट एक DNS सर्वर के रूप में काम करेगा, हालांकि इस मैलवेयर का उपयोग करके ऑपरेशन को ट्रैक करने की शुरुआती अवधि में, हमने एक निरंतरता देखी जो डीएनएस के रूप में काम करने के 50% मामलों की गारंटी देती है।

अंजीर। DNS या HTTP सर्वर को चुनने के लिए कोड शुरू करने के लिए।

RBrute.B के पास कोड की एक और शाखा है जो ऊपर दिए गए कोड को गलत तरीके से काम करने पर निष्पादित करती है।

अंजीर। दुर्भावनापूर्ण कोड में HTTP / DNS सर्वर स्ट्रीम को ट्रिगर करने के लिए एक अन्य तंत्र।

RBrute ऑपरेटर मैन्युअल रूप से एक विशेष रूप से तैयार किए गए DNS या HTTP अनुरोध भेजकर उपरोक्त धाराओं को शुरू कर सकते हैं। RBrute.A की तरह, RBrute.B संक्रमित प्रणाली पर अपनी दूसरी प्रति को शुरू करने से रोकने के लिए "SKK29MXAD" नामक एक विशेष म्यूटेक्स का उपयोग करता है।

नियंत्रण थ्रेड का उपयोग मालवेयर द्वारा एकत्रित डेटा को C & C सर्वर पर वापस भेजने के लिए किया जाता है। हर दो मिनट में, RBrute.B हार्ड-वायर्ड IP पते पर डेटा पैकेट भेजता है। इस पैकेज में उस सिस्टम के बारे में जानकारी है जिस पर बॉट काम करता है। प्रबंधन सर्वर तब बॉट को एक आईपी पता प्रदान करेगा जिसका उपयोग नकली Google क्रोम इंस्टॉलर को वितरित करने के लिए किया जाएगा। यदि बॉट DNS सर्वर मोड में काम करता है, तो C & C सर्वर का IP पता उस पते से मेल खाएगा जो आप नकली ब्राउज़र इंस्टॉलर के वितरण सर्वर के रूप में उपयोग करना चाहते हैं। अन्यथा, प्रबंधन सर्वर IP पता भेजेगा जो कि Sality P2P अवसंरचना के बाहर है और इसका उपयोग नकली Chrome इंस्टॉलरों को वितरित करने के लिए किया जाएगा।

निम्न प्रणाली के बारे में जानकारी है जो रिमोट सर्वर पर नियंत्रण प्रवाह द्वारा भेजी जाती है।

सिस्टम का नाम GetComputerName () है ।
निश्चित समय GetLocalTime () है ।
देश - GetLocaleInfo () ।
Windows निर्देशिका का पथ GetWindowsDirectoryA () है ।
OS उत्पाद नाम - सिस्टम रजिस्ट्री से HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Product नाम।
प्रोसेसर के नाम सिस्टम रजिस्ट्री HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ <CPU #> \ ProcessorNameString से हैं।
मेमोरी GlobalMemoryStatus () की मात्रा।
डीबगर की उपस्थिति IsDebuggerPresent () है ।
GetProcessMemoryInfo () मैलवेयर द्वारा उपयोग की जाने वाली मेमोरी की मात्रा।
मालवेयर का अपटाइम मिनटों में है।
रनिंग थ्रेड्स की संख्या।

सूचना पैकेज में निम्न प्रारूप है:

0x00 DWORD control_sum (CRC32)
0x04 शब्द usable_load_size
0x06 BYTE अप्रयुक्त
0x07 BYTE work_mode (HTTP - 0x32 या DNS - 0x64)

नीचे C & C को भेजी गई पैकेज जानकारी का स्क्रीनशॉट है।

अंजीर। पैकेट को बॉट द्वारा रिमोट सर्वर पर भेजा जाता है। चेकसम फ़ील्ड नीला है, पेलोड आकार फ़ील्ड लाल है, सर्वर ऑपरेशन मोड निरंतर काले रंग में एन्क्रिप्टेड है, और सिस्टम जानकारी हरे रंग में एन्क्रिप्टेड है।

सिस्टम के बारे में जानकारी फॉर्म की हो सकती है (RC4 का उपयोग कर पैकेट में एन्क्रिप्टेड):

9BC13555 | 03.24.2014 21: 56: 27 | संयुक्त राज्य अमेरिका | C: \ WINDOWS | Microsoft Windows XP | # 0 QEMU वर्चुअल CPU संस्करण 1.0 | 1 | 358 | 511 | 1117 | 1246 | 0 | 0 | 2 | 0 | 0

प्रबंधन सर्वर फिर एक पैकेट के साथ प्रतिक्रिया करेगा जिसमें उपयोग करने के लिए आईपी पता होगा। पैकेज का रूप है।

0x00 DWORD control_sum (CRC32)
0x04 शब्द usable_load_size
0x06 BYTE अप्रयुक्त
0x07 BYTE कमांड (0x02 - शुरुआत या 0x03 - सेवा बंद करें)
0x08 DWORD Service_IP पता (सिस्टम Win32 / Rbrute.B या अन्य HTTP सर्वर चलाने वाला)

DNS सर्वर घटक थ्रेड उन प्रश्नों की अपेक्षा करता है जिनमें डोमेन नाम में "google" या "facebook" शब्द होते हैं। यदि यह इस तरह के अनुरोध का पता लगाता है, तो हमलावरों के लिए आवश्यक HTTP सर्वर का आईपी पता, जो उन्होंने पहले से ही इस बॉट (Win32 / Rbrute.B) को C & C के माध्यम से भेजा था, को अनसूटेंट क्लाइंट को भेज दिया जाता है। यदि अनुरोध में ये दो शब्द नहीं हैं, तो यह Google DNS सेवा ("8.8.8.8" या "8.8.4.4") पर पुनर्निर्देशित किया जाएगा, और फिर ग्राहक को।

पेलोड क्षेत्र में निरंतर "0xCAFEBABE" के साथ एक पैकेट को 53 पोर्ट पर यूडीपी के माध्यम से सर्वर पर भेजने का अनुरोध करने वाला बॉट उड्डे ध्वज को सिस्टम रजिस्ट्री कुंजी HKEY_CURRENTRUSER \ SOFTWARE \ Fihd4 में सेट किया जाएगा। यह ध्वज सुनिश्चित करता है कि रिबूट के बाद DNS सर्वर थ्रेड शुरू किया जाएगा। सर्वर को इस कार्रवाई के पूरा होने की पुष्टि करने के लिए निरंतर "0xDEADCODE" के साथ जवाब देना चाहिए।

हमने Win32 / RBrute.B में एक अलग HTTP सेवा सूत्र का उल्लेख किया। आइए इसे और अधिक विस्तार से विचार करें। यह सेवा उन उपयोगकर्ताओं को सेवा देती है जिन्हें Google Chrome ब्राउज़र का नकली वितरण डाउनलोड करने के लिए दुर्भावनापूर्ण DNS राउटर के माध्यम से पुनर्निर्देशित किया गया है। जब HTTP के माध्यम से अनुरोध प्राप्त होता है, तो सेवा प्रवाह पहले हेडर में उपयोगकर्ता-एजेंट पैरामीटर का विश्लेषण करेगा। सेवा का आगे का व्यवहार इस पैरामीटर में क्या है पर निर्भर करता है।

यदि उपयोगकर्ता-एजेंट पैरामीटर में स्ट्रिंग "linux" या "playstation" है, तो सेवा बस डिस्कनेक्ट हो जाएगी। यदि उपयोगकर्ता-एजेंट के पास यह जानकारी है कि ब्राउज़र का उपयोग मोबाइल डिवाइस पर किया गया है ("एंड्रॉइड", "टैबलेट", "विंडोज सीई", "ब्लैकबेरी" या "ओपेरा मिनी") हैं, तो सेवा एक नकली ब्राउज़र इंस्टॉलर के साथ प्रतिक्रिया दे सकती है । इसके अलावा, यदि उपयोगकर्ता-एजेंट में "ओपेरा", "फ़ायरफ़ॉक्स", "क्रोम", "एमएसआई", या कुछ और हो तो एक नकली क्रोम इंस्टॉलर दिया जाएगा।

DNS सेवा के मामले में, ऑपरेटर विशेष रूप से गठित HTTP पैकेट भेजकर स्वयं HTTP सेवा के व्यवहार को प्रभावित कर सकता है। वह एक विशेष उपयोगकर्ता-एजेंट "BlackBerry9000 / 5.0.0.93 प्रोफ़ाइल / MIDP-2.0 कॉन्फ़िगरेशन / CLDC-2.1 VendorID / 831" के साथ एक GET या POST अनुरोध भेजकर ऐसा कर सकता है, जो रजिस्ट्री कुंजी HKEY_CURRENT_USER \ SOFTWARE में bot द्वारा "htme" ध्वज स्थापित करने की ओर ले जाएगा। \ Fihd4। यह सुनिश्चित करता है कि HTTP सर्वर रिबूट के बाद शुरू होता है। सर्वर (Win32 / RBrute.B के साथ बॉट) कमांड के निष्पादन की पुष्टि करने के लिए "kenji oke" संदेश के साथ जवाब देना चाहिए।

नेटवर्क से कनेक्शन प्राप्त करने के लिए आवश्यक सभी नमकीन घटकों में एक विशेष विंडोज फ़ायरवॉल नियम जोड़ने के लिए समान कोड होता है जो मैलवेयर प्रक्रिया के लिए आने वाले कनेक्शन की अनुमति देगा। रजिस्ट्री कुंजी HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess_ Parameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List में कुंजी को " malicious_file_name: *: Enabled: ipsec " जोड़कर ऐसा ऑपरेशन किया जाता है। निम्न इस कार्य को करने वाले add_to_firewall_exception Sality फ़ंक्शन के लिए कोड है।

Win32 / RBrute.B घटक में, यह फ़ंक्शन दुर्भावनापूर्ण प्रोग्राम के निष्पादन की शुरुआत में कहा जाता है।

अंजीर। यहां से, add_to_firewall_exception फ़ंक्शन को कहा जाता है ।

एक समान कोड स्पैम बॉट घटक में होता है जो सेलिटी से संबंधित होता है।

अंजीर। Sality स्पैम बॉट कोड जिसमें add_to_firewall_exception कहा जाता है ।

हमारे टेलीमेट्री डेटा बताते हैं कि वर्तमान में Win32 / Sality गतिविधि कम हो रही है या 2012 की तरह ही कम से कम बनी हुई है। हमारा मानना है कि हिरासत की संख्या में कमी उपयोगकर्ताओं की वर्तमान संक्रमण वैक्टर की कम दक्षता से जुड़ी है। यह इस तथ्य की व्याख्या कर सकता है कि हमलावर Win32 / Sality को वितरित करने के नए तरीकों की तलाश कर रहे हैं।

यदि हम पिछले वर्ष के दौरान सालिटी डिटेक्शन के आंकड़ों को देखते हैं, तो हमें लगभग 2013 दिसंबर में, डेट्स की संख्या में मामूली वृद्धि देखने को मिलेगी। यह तारीख आरब्र्यूट घटक की पहली गतिविधि के समय के साथ मेल खाती है, जो राउटर के DNS सेवा परिवर्तन का कार्य करती है।

हम हमलावरों के लिए RBrute घटक की सही प्रभावशीलता के बारे में सुनिश्चित नहीं हैं, क्योंकि अधिकांश राउटर केवल एक निश्चित पते स्थान (यानी, 192.168.0.0/16) पर सुनते हैं, जो इंटरनेट से नियंत्रण कक्ष को दुर्गम बनाता है। इसके अलावा, RBrute घटक पासवर्ड की मजबूत गणना नहीं करता है, लेकिन केवल अपनी सूची से दस पासवर्ड लागू करने का प्रयास करता है।

निष्कर्ष

Win32 / Sality मैलवेयर वाले उपयोगकर्ताओं को संक्रमित करने के लिए सरल वैक्टर उचित स्तर पर बॉटनेट आबादी को रखने के लिए पर्याप्त प्रभावी नहीं हो सकते हैं। हमलावरों को मैलवेयर फैलाने के लिए एक नए तरीके की आवश्यकता थी, और राउटर के लिए डीएनएस अपहरण इस तरह से बन गया। इस बात पर निर्भर करता है कि चयनित राउटर शोषण के लिए अतिसंवेदनशील है या नहीं, कई रीडायरेक्ट किए गए उपयोगकर्ता इसके रीडायरेक्ट के शिकार बन सकते हैं। हम अनुशंसा करते हैं कि आप राउटर के नियंत्रण पैनलों के खातों के लिए सुरक्षित पासवर्ड का उपयोग करें, और यह भी जांचें कि क्या इंटरनेट से इसे एक्सेस करने की अनुमति देना वास्तव में आवश्यक है।

सालिट वायरस राउटर की DNS सेवा को संशोधित करता है

More articles: