DNS劫持是一个全球性的问题

根据Avast的说法，DNS劫持是一个全球性的问题。今年早些时候，澳大利亚联邦政府机构网络安全中心（ACSC）宣布，它已经了解全球域名系统（DNS）基础设施劫持活动，并发布了一份声明，概述了组织如何保护其系统的最佳实践。

网络罪犯分子利用跨站点请求伪造攻击（CSRF）来执行用户不知情的命令，在这种情况下，修改用户的DNS设置以执行网络钓鱼和加密挖掘攻击，或通过恶意广告进行攻击。用于攻击路由器的已知路由器漏洞利用工具包包括GhostDNS，Novidade。

截至目前为止，在2019年Avast已阻止了超过70,000次GhostDNS攻击。GhostDNS漏洞利用工具包在全球地下黑客攻击场所的许多地方非常流行，其中一些变种属于2019年针对路由器的最活跃的漏洞利用工具包。仅在2月份，GhostDNS变种Novidade就试图感染Avast用户路由器超过260万次，并通过三个活动传播。根据Netlab360，GhostDNS 由一个复杂的系统组成，该系统包含网络钓鱼 Web 系统、Web 管理系统和恶意 DNS 系统。

DNS劫持导致网络钓鱼攻击

路由器CSRF攻击通常在用户使用恶意广告访问受感染网站时启动，该恶意广告通过第三方广告网络提供给网站。Avast 经常在本地网站上发现不良感染，这些网站包含成人内容、非法电影和体育。只需访问一个受到感染的站点，受害者就会被重定向到恶意网页，利用工具包登陆页面，在无需用户交互的情况下，后台会自动启动对路由器的攻击。

在许多情况下，由于密码较弱，漏洞利用工具包可以成功攻击路由器。它首先尝试在网络上找到路由器IP，然后尝试使用各种登录凭据猜测密码。

在某些情况下，路由器被重新配置为使用流氓DNS服务器，将受害者重定向到看起来像真正在线银行网站的网络钓鱼页面。最近，Netflix成为DNS劫持者的热门域名。

Avast数据显示，以下在巴西活跃的组织的网站最常遭到劫持：

• santander（24％）
• Bradesco（19％）
• Banco do Brasil（13％）
• Itau BBA（13％）
• Netflix（11％）
• Caixa（10％）
• Serasa Experian（10％）

“受影响的机构通常因其受欢迎程度而成为攻击目标，问题在于除了提醒客户之外，他们几乎无法避免其成为受害者，因为网络钓鱼网站不属于他们的域名。” Avast的威胁情报分析师David Jursa。

恶意广告和加密攻击

除了网络钓鱼之外，网络犯罪分子还使用DNS劫持将恶意广告替换为合法广告。例如，网络犯罪分子可以劫持广告平台，如Outbrain，它可以集成到网站中，为网站访问者提供广告。如果广告平台的服务器地址在用户的路由器上被劫持，则用户将看到恶意广告。例如，这些可能会诱使用户下载更多恶意软件，或者将他们引导到带有阴影或非法内容的未经请求的网站。

此外，Avast威胁研究人员还看到网络犯罪分子使用DNS劫持将恶意加密脚本推送到用户的浏览器，因此用户的机器被滥用以挖掘加密硬币。这会导致高额能源费用，并缩短受影响设备的生命周期。

网站和用户都应采取措施

David Jursa敦促消费者仔细检查网页并保护他们的家庭网络。“用户在访问银行等网站时应该小心，并确保该页面具有有效的证书。他们可以通过检查浏览器URL栏中的挂锁来完成此操作。用户还应经常将路由器的固件更新到最新版本，并使用强密码设置路由器的登录凭据。“

此外，各大网站也可以通过使用SSL证书对网站域名进行HTTPS加密（为网站浏览器加一把绿色的挂锁），从而确保网站数据不被篡改和窃取，防止DNS劫持、网页植入广告等现象，提升网站的安全性。