今天小編分享的科技經驗:IPv6 網絡功能被濫用,劫持騰訊等軟體更新重定向下載惡意軟體,歡迎閱讀。
IT 之家 5 月 1 日消息,網絡安全公司 ESET 昨日(4 月 30 日)發布博文,報道稱黑客組織 TheWizards 利用 IPv6 網絡功能,發起 " 中間人攻擊 "(AitM),劫持軟體更新以安裝 Windows 惡意軟體。
報告指出該組織利用 IPv6 協定中的 " 無狀态地址自動配置 "(SLAAC)功能,實施 "SLACC 攻擊 "。IT 之家注:SLAAC 無需依賴 DHCP 伺服器,支持設備自動配置 IP 地址和默認網關。
該黑客組織通過其定制工具 Spellbinder,發送偽造的路由器通告(RA)消息,誘導附近系統自動獲取新的 IPv6 地址、DNS 伺服器及默認網關。而這個網關實際上是 "Spellbinder" 工具的 IP 地址,讓攻擊者能攔截通信并将流量重定向至其控制的伺服器。
"Spellbinder" 通過名為 "AVGApplicationFrameHostS.zip" 的壓縮檔案傳播,解壓後偽裝成合法軟體目錄 "% PROGRAMFILES%AVG Technologies"。其中包含惡意檔案 "wsc.dll",借助合法工具 "winpcap.exe" 加載 "Spellbinder" 至内存。
感染後,該工具監控特定網域名流量,尤其是騰訊、百度、迅雷、優酷、愛奇藝、金山、芒果 TV、風行、有道、小米、小米 MIUI、PPLive、美圖、奇虎 360 和暴風(按照原文排序)等中國軟體更新伺服器相關的網域名。一旦發現連接請求,它會重定向下載惡意更新,安裝後門程式 "WizardNet",讓攻擊者持續控制設備并安裝更多惡意軟體。
