¿Acabo de obtener el DNS secuestrado?

Navega tus respuestas
135

Hoy me conecté a mi Macbook en línea y noté que mi iTunes se quejaba de que no podía conectarse a Apple. Intenté desconectarme y conectarme a mi cuenta, pero extrañamente dijo que no podía iniciar sesión; Al principio no pensé mucho en eso, ya que pensé que tal vez era que iTunes tenía más bichos que de costumbre.

Sin embargo, luego noté algo realmente extraño, cuando intenté visitar www.apple.com, mi navegador me advirtió (Google Chrome) que este sitio web no era seguro. Esto comenzó a sonar las campanas de alarma en mi mente, hice clic en "Continuar de todos modos" y fui recibido con esta página:

Siendo(algoasícomo)undiseñador/desarrolladorweb,prestoatenciónalospequeñosdetallesenunsitiowebyalinstantesupequenoeraasícomosevelapáginadeiniciodeApple,yciertamentenolepidieronqueiniciesesiónensupáginadeinicio.Busquéunpocomásalcódigofuentedelapáginaypudeverqueelcódigofuenteestabademasiadosimplificadoparaunagrancorporación;laúnicapartedeJSfueverificarqueladireccióndecorreoelectrónicoestabaenelformatocorrecto.

ComencéasospecharquetalvezmimáquinaMacestabainfectada,asíquecambiéamiiPhone(enlamismaredWiFi),probéwww.apple.comymemostraronexactamentelamismapágina.Paramí,estoparecíaalgorelacionadoconelDNS,yaquelasposibilidadesdequemisdosdispositivosestuvieraninfectadoseranmuypocoprobables.Luegomedirigíamienrutadorparaversuconfiguración.

Mirenyvean,alprofundizarenlaconfiguracióndelDNS,pudeverquelaconfiguraciónparecíaunpocoextraña.InicialmentehabíaestablecidolaconfiguracióndemiDNSparausarlosservidoresdeGoogle,aunqueestaestabaestablecidahacemuchosaños,sabíaquehabíaalgoparecidoa8.8.*.*.

Sinembargo,enmiconfiguraciónencontrélassiguientesdireccionesIP:

Primary:185.183.96.174Secondary:8.8.8.8

SupedeinmediatoqueelDNSsehabíacambiado,ladirecciónprincipaldeberíahabersido8.8.4.4.Nadietieneaccesoalapáginadeadministracióndemienrutadorapartedemíenlared,yhedeshabilitadoelaccesoalenrutadorfueradelaredlocalPuedoverqueelaccesoexternoestabahabilitado.Enlaconfiguracióninicial,estodefinitivamentefueapagado.

Mipreguntaes:"¿Cómo se pudo cambiar el DNS / ¿Qué puedo hacer para evitar que esto vuelva a suceder?

Intento mantener el firmware de mi enrutador actualizado (aunque quizás tenía una versión anterior al momento de esta publicación).

Más acerca del sitio de phishing:

Antes de que volviera a cambiar la configuración del DNS primario y quería averiguar más sobre este sitio de phishing, corrí ping apple.com para encontrar que la dirección IP era 185.82.200.152 .

Cuando ingresé esto en un navegador, pude ver que la persona había creado varios sitios para intentar capturar los inicios de sesión. Sospecho que están basados en los Estados Unidos; No creo que Walmart opere fuera de los estados (al menos no en el Reino Unido). He informado la IP al host web basado en Dubai y estoy esperando una respuesta.

Editar (detalles del enrutador): Asus AC87U, FW versión 3.0.0.4.380.7743 (1 versión atrás)
No tenía las contraseñas predeterminadas establecidas.

Segunda actualización:
Host ha suspendido la cuenta.

    
pregunta Imran 12.03.2018 - 00:24
fuente

3 respuestas

121

Sí, la entrada de DNS principal de su enrutador se dirigió a un servidor de DNS no autorizado para que los dispositivos de su red resuelvan apple.com y otros dominios en sitios de phishing. El enrutador posiblemente se vio comprometido por una vulnerabilidad sin parchear en su firmware.

  

Tengo un Asus AC87U, FW versión 3.0.0.4.380.7743 (1 versión atrás).

Su lanzamiento tiene más de medio año de antigüedad. La última versión 3.0.0.4.382.50010 (2018-01-25) viene con lotes de correcciones de seguridad, incluidas las vulnerabilidades RCE que pueden haber sido explotadas aquí.

  

Seguridad corregida

     
  • Se corrigió la vulnerabilidad de KRACK
    •   
  • Corregido CVE-2017-14491: DNS - desbordamiento basado en el montón de 2 bytes
    •   
  • Corregido CVE-2017-14492: DHCP - desbordamiento basado en el montón
    •   
  • Corregido CVE-2017-14493: DHCP - desbordamiento basado en pila
    •   
  • Corregido CVE-2017-14494: DHCP - filtración de información
    •   
  • Corregido CVE-2017-14495: DNS - OOM DoS
    •   
  • Corregido CVE-2017-14496: DNS - DoS Integer Underflow   -Corregido CVE-2017-13704: colisión de errores
    •   
  • Tokens de sesión predecibles fijos (CVE-2017-15654), validación de IP de usuario registrado (CVE-2017-15653), divulgación de información de inicio de sesión (especial   gracias por la contribución de Blazej Adamczyk)
    •   
  • Se han corregido las vulnerabilidades de la autorización de la GUI web.
    •   
  • Se corrigieron las vulnerabilidades de AiCloud XSS
    •   
  • Se corrigió la vulnerabilidad XSS. Gracias por la contribución de Joaquim.
    •   
  • Vulnerabilidad LAN RCE fija. Un investigador de seguridad independiente ha informado de esta vulnerabilidad a SecuriTeam Secure de Beyond Security.   Programa de divulgación
    •   
  • Se ha corregido la vulnerabilidad de ejecución remota de código. Gracias a David Maciejak de FortiGuard Labs de Fortinet
    •   
  • Se corrigieron las vulnerabilidades de XSS de Smart Sync almacenadas. Gracias por la contribución de Guy Arazi.   -Fixed CVE-2018-5721 desbordamiento de búfer basado en la pila.
    •   

(Source)

Aunque Asus no publica detalles de errores, los atacantes pueden haber descubierto de forma independiente algunas de las vulnerabilidades parcheadas en esa versión. Difundir las versiones de firmware para realizar ingeniería inversa de las partes que fueron parcheadas es generalmente bastante sencillo, incluso sin acceso a la fuente original. (Esto se hace habitualmente con actualizaciones de seguridad de Microsoft .) Tales" exploits de 1 día "son comparativamente baratos de desarrollar.

Además, parece que es parte de un ataque reciente más extendido. Este tweet de hace tres días parece describir un incidente muy similar al que experimentaste:

  

Aparentemente, mi enrutador de ASUS fue pirateado y se agregó un servidor DNS falso en Dubai a la configuración. Redirigió sitios como enlace a un sitio de phishing que (creo) detecté antes de que mis hijos entregaran sus credenciales. Revisa tus enrutadores chicos.

( @harlanbarnes en Twitter , 2018-03-09)

  

[...] mi navegador me advirtió (Google Chrome) diciendo que este sitio web no era seguro. [...] Comencé a sospechar que mi máquina Mac estaba infectada [...]

El hecho de que haya recibido advertencias de certificados hace que sea menos probable que un atacante logre ingresar a su máquina. De lo contrario, podrían haberse metido con el almacén de certificados local o con los elementos internos del navegador y no necesitarían realizar un cambio de DNS evidente.

  

Nadie tiene acceso a la página de administración de mi enrutador aparte de mí en la red

Incluso si la interfaz de su enrutador no es visible desde fuera de su red, puede ser vulnerable a una variedad de ataques. Como ejemplo, tome este exploit de ejecución de código arbitrario del enrutador Netgear Hace un tiempo, los enrutadores Netgear ejecutaban comandos arbitrarios enviados como parte de la URL.

La idea aquí es engañarlo para que visite un sitio web preparado que le haga realizar el ataque usted mismo mediante la emisión de una solicitud de origen cruzado especialmente diseñada para la interfaz del enrutador. Esto podría suceder sin que lo notara y no requeriría que la interfaz sea accesible de forma remota.

En última instancia, la información proporcionada no revela la ruta de ataque exacta. Pero es plausible que aprovecharon las vulnerabilidades en su versión de firmware obsoleta. Como usuario final, debe al menos actualizar su firmware lo antes posible, hacer restablecimientos de fábrica si es necesario y mantener la interfaz de su enrutador protegida con contraseña, incluso si solo se puede acceder a ella desde la intranet.

    
respondido por el Arminius 12.03.2018 - 02:07
fuente
21

Es obvio que alguien cambió las entradas de DNS dentro de su enrutador, probablemente usando las credenciales predeterminadas. Debe ir con el restablecimiento de fábrica, actualizar su firmware, cambiar las credenciales predeterminadas y deshabilitar el acceso externo a él.

Y sí, que DNS 185.183.96.174 proviene de hackers, aún con vida ... 

dig apple.com @185.183.96.174

Esto devolverá: 

apple.com.      604800  IN  A   185.82.200.152

Y todos los sitios falsos están ahí hxxp://185.82.200.152/

    
respondido por el Mirsad 12.03.2018 - 01:11
fuente
6

Una cosa que sugeriría ALTAMENTE en este caso es intentar actualizar su enrutador con algo como DD-WRT (firmware de código abierto). Los foros DD-WRT listan una versión beta para su enrutador . Estas compilaciones a menudo son mucho menos susceptibles a la invasión externa como esta, porque se construyen con las mejores prácticas. Contraste con esta larga lista de enrutadores de ASUS vulnerables (que enumera el problema que describiste).

  

Los 40 modelos de la línea de enrutadores domésticos de Asus RT están afectados por cinco vulnerabilidades que permiten a un atacante conocer la contraseña del enrutador, cambiar la configuración del enrutador sin autenticación, ejecutar el código y eliminar datos del enrutador.

En el lado positivo, al menos estaban solo después de las credenciales de Apple en lugar de consumiendo todo su ancho de banda

Otra sugerencia es comprar un enrutador que pueda parcharse mejor. Hace tiempo que compré un Amplifi y su pantalla táctil me avisa cuando tengo una actualización de firmware (dos toques y estoy parcheado).

    
respondido por el Machavity 12.03.2018 - 20:11
fuente

Lea otras preguntas en las etiquetas

¿Es peligroso un instalador de Windows que no requiere derechos de administrador? ¿Cómo determinar qué tipo de codificación / encriptación se ha utilizado?