Cách kiểm tra bộ định tuyến của bạn để tìm phần mềm độc hại
Bảo mật bộ định tuyến của người tiêu dùng là khá xấu. Những kẻ tấn công đang lợi dụng các nhà sản xuất yếu đuối và tấn công một lượng lớn các bộ định tuyến. Đây là cách kiểm tra xem bộ định tuyến của bạn có bị xâm nhập không.
Thị trường bộ định tuyến gia đình rất giống với thị trường điện thoại thông minh Android. Các nhà sản xuất đang sản xuất số lượng lớn các thiết bị khác nhau và không buồn cập nhật chúng, để chúng mở để tấn công.
Làm thế nào bộ định tuyến của bạn có thể tham gia mặt tối
Kẻ tấn công thường tìm cách thay đổi cài đặt máy chủ DNS trên bộ định tuyến của bạn, trỏ nó vào máy chủ DNS độc hại. Khi bạn cố gắng kết nối với một trang web - ví dụ: trang web của ngân hàng của bạn - máy chủ DNS độc hại sẽ bảo bạn đến một trang web lừa đảo thay thế. Nó vẫn có thể nói bankofamerica.com trong thanh địa chỉ của bạn, nhưng bạn sẽ ở một trang lừa đảo. Máy chủ DNS độc hại không nhất thiết phải trả lời tất cả các truy vấn. Nó có thể chỉ đơn giản là hết thời gian cho hầu hết các yêu cầu và sau đó chuyển hướng truy vấn đến máy chủ DNS mặc định của ISP. Yêu cầu DNS chậm bất thường là dấu hiệu bạn có thể bị nhiễm trùng.
Những người tinh mắt có thể nhận thấy rằng một trang web lừa đảo như vậy sẽ không có mã hóa HTTPS, nhưng nhiều người sẽ không nhận thấy. Các cuộc tấn công tước SSL thậm chí có thể loại bỏ mã hóa trong quá trình.
Kẻ tấn công cũng có thể chỉ tiêm quảng cáo, chuyển hướng kết quả tìm kiếm hoặc cố gắng cài đặt tải xuống theo ổ đĩa. Họ có thể nắm bắt các yêu cầu cho Google Analytics hoặc các tập lệnh khác mà hầu hết mọi trang web đều sử dụng và chuyển hướng chúng đến một máy chủ cung cấp tập lệnh thay vì tiêm quảng cáo. Nếu bạn thấy quảng cáo khiêu dâm trên một trang web hợp pháp như How-To Geek hoặc New York Times, bạn gần như chắc chắn bị nhiễm thứ gì đó - trên bộ định tuyến hoặc chính máy tính của bạn.
Nhiều cuộc tấn công sử dụng các cuộc tấn công giả mạo yêu cầu chéo trang (CSRF). Kẻ tấn công nhúng JavaScript độc hại vào một trang web và JavaScript cố tải trang quản trị dựa trên web của bộ định tuyến và thay đổi cài đặt. Vì JavaScript đang chạy trên một thiết bị bên trong mạng cục bộ của bạn, mã có thể truy cập vào giao diện web chỉ có sẵn trong mạng của bạn.
Một số bộ định tuyến có thể có giao diện quản trị từ xa được kích hoạt cùng với tên người dùng và mật khẩu mặc định - bot có thể quét các bộ định tuyến như vậy trên Internet và có quyền truy cập. Khai thác khác có thể tận dụng các vấn đề bộ định tuyến khác. UPnP dường như dễ bị tổn thương trên nhiều bộ định tuyến, ví dụ.
Làm thế nào để kiểm tra
Dấu hiệu nhận biết rằng bộ định tuyến đã bị xâm phạm là máy chủ DNS của nó đã bị thay đổi. Bạn sẽ muốn truy cập vào giao diện dựa trên web của bộ định tuyến của bạn và kiểm tra cài đặt máy chủ DNS của bộ định tuyến.
Trước tiên, bạn sẽ cần truy cập trang thiết lập dựa trên web của bộ định tuyến. Kiểm tra địa chỉ cổng kết nối mạng của bạn hoặc tham khảo tài liệu của bộ định tuyến để tìm hiểu làm thế nào.
Đăng nhập bằng tên người dùng và mật khẩu của bộ định tuyến của bạn, nếu cần thiết. Tìm kiếm cài đặt DNS DNS ở đâu đó, thường trong màn hình cài đặt kết nối Internet hoặc Internet. Nếu nó được đặt thành Tự động, thì đó là điều tốt - nó sẽ nhận được từ ISP của bạn. Nếu nó được đặt thành Hướng dẫn sử dụng, và có các máy chủ DNS tùy chỉnh được nhập vào đó, đó rất có thể là một vấn đề.
Sẽ không có vấn đề gì nếu bạn đã cấu hình bộ định tuyến của mình để sử dụng các máy chủ DNS thay thế tốt - ví dụ: 8.8.8.8 và 8.8.4.4 cho DNS của Google hoặc 208.67.222.222 và 208.67.220.220 cho OpenDNS. Nhưng, nếu có máy chủ DNS ở đó bạn không nhận ra, đó là phần mềm độc hại có dấu hiệu đã thay đổi bộ định tuyến của bạn để sử dụng máy chủ DNS. Nếu nghi ngờ, hãy thực hiện tìm kiếm trên web cho các địa chỉ máy chủ DNS và xem liệu chúng có hợp pháp hay không. Một cái gì đó giống như virut 0.0.0.0, vẫn ổn và thường chỉ có nghĩa là trường trống và bộ định tuyến sẽ tự động nhận máy chủ DNS thay thế.
Các chuyên gia khuyên thỉnh thoảng kiểm tra cài đặt này để xem bộ định tuyến của bạn có bị xâm phạm hay không.
Trợ giúp, Có Máy chủ DNS độc hại!
Nếu có một máy chủ DNS độc hại được cấu hình ở đây, bạn có thể vô hiệu hóa nó và yêu cầu bộ định tuyến của bạn sử dụng máy chủ DNS tự động từ ISP của bạn hoặc nhập địa chỉ của các máy chủ DNS hợp pháp như Google DNS hoặc OpenDNS tại đây.
Nếu có một máy chủ DNS độc hại được nhập vào đây, bạn có thể muốn xóa tất cả các cài đặt của bộ định tuyến và đặt lại nhà máy trước khi thiết lập lại nó - chỉ để an toàn. Sau đó, sử dụng các thủ thuật dưới đây để giúp bảo mật bộ định tuyến khỏi các cuộc tấn công tiếp theo.
Làm cứng bộ định tuyến của bạn chống lại cuộc tấn công
Bạn chắc chắn có thể làm cứng bộ định tuyến của mình chống lại các cuộc tấn công này - phần nào. Nếu bộ định tuyến có lỗ hổng bảo mật mà nhà sản xuất chưa vá, bạn hoàn toàn không thể bảo mật nó.
- Cài đặt bản cập nhật firmware: Đảm bảo phần sụn mới nhất cho bộ định tuyến của bạn được cài đặt. Cho phép cập nhật chương trình cơ sở tự động nếu bộ định tuyến cung cấp nó - thật không may, hầu hết các bộ định tuyến không. Điều này ít nhất đảm bảo bạn được bảo vệ khỏi bất kỳ sai sót nào đã được vá.
- Vô hiệu hóa truy cập từ xa: Vô hiệu hóa quyền truy cập từ xa vào các trang quản trị dựa trên web của bộ định tuyến.
- Thay đổi mật khẩu: Thay đổi mật khẩu sang giao diện quản trị dựa trên web của bộ định tuyến để kẻ tấn công không thể truy cập bằng mật khẩu mặc định.
- Tắt UPnP: UPnP đặc biệt dễ bị tổn thương. Ngay cả khi UPnP không dễ bị tấn công trên bộ định tuyến của bạn, một phần mềm độc hại đang chạy ở đâu đó trong mạng cục bộ của bạn có thể sử dụng UPnP để thay đổi máy chủ DNS của bạn. Đó chỉ là cách UPnP hoạt động - nó tin tưởng tất cả các yêu cầu đến từ mạng cục bộ của bạn.
DNSSEC được cho là cung cấp bảo mật bổ sung, nhưng ở đây không có thuốc chữa bách bệnh. Trong thế giới thực, mọi hệ điều hành máy khách chỉ tin tưởng máy chủ DNS được cấu hình. Máy chủ DNS độc hại có thể xác nhận bản ghi DNS không có thông tin DNSSEC hoặc thông tin đó có thông tin DNSSEC và địa chỉ IP được truyền cùng là địa chỉ thật.
Tín dụng hình ảnh: nrkbeta trên Flickr
