今天小编分享的科技经验:IPv6 网络功能被滥用,劫持腾讯等軟體更新重定向下载恶意軟體,欢迎阅读。
IT 之家 5 月 1 日消息,网络安全公司 ESET 昨日(4 月 30 日)发布博文,报道称黑客组织 TheWizards 利用 IPv6 网络功能,发起 " 中间人攻击 "(AitM),劫持軟體更新以安装 Windows 恶意軟體。
报告指出该组织利用 IPv6 協定中的 " 无状态地址自动配置 "(SLAAC)功能,实施 "SLACC 攻击 "。IT 之家注:SLAAC 无需依赖 DHCP 伺服器,支持设备自动配置 IP 地址和默认网关。
该黑客组织通过其定制工具 Spellbinder,发送伪造的路由器通告(RA)消息,诱导附近系统自动获取新的 IPv6 地址、DNS 伺服器及默认网关。而这个网关实际上是 "Spellbinder" 工具的 IP 地址,让攻击者能拦截通信并将流量重定向至其控制的伺服器。
"Spellbinder" 通过名为 "AVGApplicationFrameHostS.zip" 的压缩檔案传播,解压后伪装成合法軟體目录 "% PROGRAMFILES%AVG Technologies"。其中包含恶意檔案 "wsc.dll",借助合法工具 "winpcap.exe" 加载 "Spellbinder" 至内存。
感染后,该工具监控特定網域名流量,尤其是腾讯、百度、迅雷、优酷、爱奇艺、金山、芒果 TV、风行、有道、小米、小米 MIUI、PPLive、美图、奇虎 360 和暴风(按照原文排序)等中国軟體更新伺服器相关的網域名。一旦发现连接请求,它会重定向下载恶意更新,安装后门程式 "WizardNet",让攻击者持续控制设备并安装更多恶意軟體。
