کد منبع کیت بهرهبرداری GhostDNS توسط پژوهشگران کشف و تجزیه و تحلیل شد. از GhostDNS برای سرقت طیف وسیعی از مسیریابها برای تسهیل فیشینگ گواهینامههای بانکی استفاده میشود، مسیریابهای هدف عمدتاً در امریکای لاتین قرار دارند.
پژوهشگران آواست به کد منبع استفادهشده در یک پویش GhostDNS دست یافتند. آنتیویروس آواست شامل یک Web Shield برای محافظت از کاربران در برابر محتوای وب مخرب است. یکی از کاربران آن تلاش کرده بود تا یک آرشیو RAR را با محتوای مخرب بارگذاری کند. او فراموش کرده بود که Web Shield و گذرواژهی محافظ RAR را غیرفعال کند. Web Shield آن را مخرب تشخیص داد و بهطور خودکار محتوا را تجزیه و تحلیل کرد و آن را بهعنوان یک کیت بهرهبرداری پرچمگذاری کرد.
گروه اطلاعات تهدید آواست گزارش میدهد که فایل پیوندشده را بارگیری کردهاند و کد منبع کامل کیت بهرهبرداری GhostDNS را یافتهاند. آرشیو RAR با نام KL DNS.rar هدف آن را نشان میدهد؛ DNS hijack کاربران را به یک صفحهی فیشینگ هدایت میکند که در آن از یک keylogger برای استخراج گواهینامههای کاربر یا اطلاعات کارت بانکی استفاده میشود.
این آرشیو همهی موارد لازم برای یک پویش DNS hijack، چه از داخل شبکه و چه از اینترنت را شامل میشود. حملات داخلی اغلب از طریق تبلیغافزار انجام میشوند. تبلیغافزارها به EK اجازه میدهند تا حمله به مسیریاب را بهطور مستقیم از یک رایانهای که از آن مسیریاب استفاده میکند، انجام دهد. حملات خارج از اینترنت قبل از انجام حمله به اسکن و یافتن مسیریابهای آسیبپذیر نیاز دارند. هر چیزی که برای هر دو نوع حمله موردنیاز است، در آرشیو RAR وجود دارد.
بسیاری از پویشهای GhostDNS مسیریابهای مستقر در امریکای لاتین بهخصوص برزیل را هدف قرار میدهند. براساس اطلاعات به دست آمده، ۷۶ درصد از مسیریابهای مستقر در برزیل گواهینامههای پیشفرض یا ضعیفی دارند و این منطقه را به یک هدف سودآور تبدیل میکنند.
برای حملاتی که از طریق اینترنت انجام میشوند این آرشیو شامل BRUT است که یک اسکنر اینترنت رایگان است که مسیریابهایی با یک آدرس IP عمومی را یافته و به آنها حمله میکند و یک درگاه HTTP باز میکند. آواست دو نسخه از BRUT را یافته است. یک نسخه تعداد کمی از دستگاهها و درگاهها را با یک فهرست طولانی از گذرواژههای پیشفرض و معمولی قابل استفاده هدف قرار میدهد، درحالیکه دیگری تعداد زیادی از دستگاهها را با تعداد اندکی از گواهینامههای احتمالی هدف قرار میدهد. به نظر میرسد که دومی نسخهی جدیدتر باشد.
پژوهشگران تصور میکنند که این ممکن است به این دلیل باشد که بسیاری از کاربران هرگز گواهینامههای پیشفرض را در مسیریابهای SOHO خود تغییر نمیدهند و درنتیجه استفاده از تعداد اندکی از گواهینامهها برای انجام حمله میتواند به اندازهی کافی مؤثر باشد. گواهینامههای کمتر در برابر مدلهای مسیریاب بیشتر ممکن است مؤثرتر از گواهینامههای بیشتر در برابر تعداد محدودی از مسیریابهای مختلف باشد.
هر دو مجموعهی گواهینامهها شامل گذرواژهی deadcorp2017 هستند که توسط GhostDNS بهعنوان یک گذرواژهی جدید در مسیریابهای آلوده استفاده میشوند. این به این معنا است که پویشهای جدید میتوانند به مسیریابهایی که آلوده شدهاند دسترسی یابند حتی درصورتیکه گذرواژهی اصلی در پویش فعلی نباشد.
روش اصلی حمله استفاده از درخواستهای جعل درخواست بین وبگاهی (CSRF) برای تغییر تنظیمات DNS در مسیریاب است. این فرآیند یک سرور rogue DNS ایجاد میکند که توسط مهاجم برای هر پویش GhostDNS مشخص میشود. سه نوع تنظیمات DNS مخرب متفاوت در کد کشفشده توسط آواست وجود دارد که هیچ یک از آنها درحالحاضر عملیاتی نیستند.
پس از تغییر تنظیمات DNS، میتوان کاربران را بهطور مخفیانه به صفحات از پیش ساختهشدهی pharming هدایت کرد. فایل RAR کشفشده توسط آواست نیز شامل کد منبع چند صفحه ازجمله صفحات بزرگترین بانکهای برزیل است. این کد منبع نشان میدهد که سایر دامنهها آماده به کار هستند، اما صفحات وب فیشینگ پیادهسازی نشدهاند.
حملهی داخلی به یک پویش تبلیغافزاری مرتبط میشود که کاملاً متفاوت عمل میکند. EK مسیریابهایی با یک درگاه باز را جستجو میکند و یک iframe با رمزنگاری BASE64 تولید میکند. این iframe یک صفحه وب ساده با یک تابع را نشان میدهد که درخواستهای HTTP را به درخواستهای WebSocket تغییر میدهد. این درخواستها تنظیمات DNS را به آدرسهای IP مخرب از پیش تعریفشده تغییر میدهد. تنها ۸ جفت نام کاربری و گذرواژه در این حمله یافت میشود، اما شامل پر استفادهترین اطلاعات ورود پیشفرض مسیریاب در برزیل هستند.
هنگامی که قربانی با موفقیت به یک صفحهی pharming مخرب هدایت شد، یک keylogger اطلاعات ورود و اطلاعات کارت بانکی را به سرقت میبرد و آنها را به مهاجم ارسال میکند.
