Ad-Fraude malware kaapt router DNS en injecteert Advertenties Via Google Analytics - VPNgids.nl

Ad-Fraude malware kaapt router DNS en injecteert Advertenties Via Google Analytics

dns-hijacking

 

Malware die de DNS-instellingen van je router kaapt is niet nieuw. Echter, exploits die in de afgelopen jaren ontwikkeld zijn, zijn erin geslaagd via een Javascript injectie deze DNS-kaping te bewerkstelligen. Ara Labs heeft een nieuw type fraude ontdekt waarbij de fraudeurs gekaapte routers waarbij de DNS-instellingen zijn gewijzigd, gebruikt hebben om Google Analytics tags te onderscheppen op website die door de gebruiker bezocht worden te onderscheppen en te vervangen door pornografie en andere advertentie. Voor slachtoffers van wie de router gehackt is heeft dit de consequentie dat er advertenties en pornografisch materiaal in elke site die ze bezoeker, die gebruikt maakt van google analytics (en dat zijn er vele miljoenen). In dit artikel zal ik de fraude uitleggen en vertellen hoe je jezelf kunt beschermen tegen deze aanvallen.

Een kort stukje geschiedenis van het Router DNS Hijacken

Malware die de router DNS-instellingen wijzigt bestaat al een tijdje. In 2013 publiceerde Team-Cymru een artikel waarin enkele van deze aanvallen beschreven werden. In 2014 werden andere aanvallen gedocumenteerd die Javascript gebruikten om standaard router verificatiegegevens raden en de DNS instellingen van de router te wijzigen.

Voorbeeld stukje javascript dat gebruikt wordt om wachtwoorden te raden.
Voorbeeld stukje javascript dat gebruikt wordt om wachtwoorden te raden.

Hieropvolgend zijn ook deze aanvallen in verschillende artikelen beschreven, maar dit heeft er niet tot geleidt dat het aantal aanvallen afgenomen is.

 

Routers and DNS

DNS is als een telefoonboek voor het internet; u geeft de websitenaam (url) van de site die u wilt bezoeken en ontvangt een nummer (IP), waar deze gevonden kan worden. Zo kunnen we DNS gebruiken om de IP-adressen die zijn toegewezen aan het domein www.google.com opzoeken. DNS antwoordt met een lijst van IP-adressen in het 173.194.43.0/24 bereik. Als we een van die IP’s te selecteren en verbinding te maken dan zullen we verbinden krijgen met een server die fungeert als host van Google.

DNS aanvraag google analytics
DNS aanvraag google analytics

dns-aanvraag-google-analytics

Wanneer een router DNS kaping succesvol is, worden de DNS-instellingen van de router veranderd en gaan ze verwijzen naar een kwaadaardige DNS-server die wordt beheert door de aanvallers. Standaard worden de meest gangbare besturingssystemen (Windows, OSX, iOS, Android, Ubuntu) geconfigureerd om automatisch de DNS-instellingen van de router te gebruiken wanneer ze verbinding maken met een netwerk (via DHCP). Dit betekent dat wanneer een apparaat wordt aangesloten op het netwerk van een gecompromitteerde router deze automatisch zal worden geconfigureerd naar de malafide DNS-instellingen van de router.

Als een aanvaller de DNS-server beheert die uw computer gebruikt om een ​​IP adres op te zoeken kunnen ze in plaats van het echte (correcte) IP-adres van de site, het ip-adres van een server opgeven die onder hun controle is. Je maakt dan dus verbinding met de server van de aanvaller in plaats van die van de officiele website, met alle mogelijke gevolgen van dien.

Verkeerde DNS aanvraag
Verkeerde DNS aanvraag

Google Analytics

Google Analytics is een dienst die de webmaster inzicht biedt in de karakteristieken van zijn bezoekers (denk aan aantallen, welke pagina’s ze bezoeken, hoe de bezoekers zijn site gevonden hebben, etc). De webmaster kan gebruik maken van google analytics door een code van google analytics mee te laten laden op hun website. Hierdoor worden de gegevens bijgehouden die de webmaster vervolgens kan bekijken en analyseren als die inlogt hij google analytics.

Google Analytics is momenteel de meest gebruikte website traffic analyse dienst. Aangezien deze tag is ingesloten op het merendeel van de websites op het internet is het een perfect doelwit voor de fraudeurs.

Google Analytics Interceptie en Advertentie  Injectie

In eerdere gevallen van router DNS-kaping hebben de criminelen de malafide DNS-server gebruikt om de locatie van websites van banken te spoofen in een poging om het bankverkeer te onderscheppen. In dit geval gebruiken de hackers van de gekaapte DNS om verzoeken aan de google-analytics.com servers te onderscheppen, om vervolgens de website bezoeker om te leiden naar een nep-Google Analytics website. Wanneer het slachtoffer, door het bezoeken van een site die google analytics gebruikt, de Google Analytics javascript code opvraagt van de nep-website krijgt deze kwaadaardige Javascript geleverd dat advertenties injecteert in de site die ze bekijken. Dit is niet een kwetsbaarheid van Google Analytics zelf of van de website, maar eerder van de router of het DNS systeem in bredere zin.

In deze fraude aanval die werd onderzocht door Ara Labs maakten de criminelen gebruik maakt van een rogue DNS-server zich op 91.194.254.105 bevond. Tijdens een succesvolle router kaping werd deze DNS-server geconfigureerd als primaire DNS van de router terwijl Google’s DNS sever (8.8.8.8) werd geconfigureerd als de secundaire. De DNS-server op 91.194.254.105 weigert de meeste domeinaanvragen waardoor de router / computer van het slachtoffer een beroep gaat doen op de secundaire DNS-server (die van Google) voor de aanvraag van de websites. Echter, wanneer een lookup wordt geprobeerd voor het Google Analytics domein google-analytics.com dan reageert malafide DNS-server met het ip 195.238.181.16 en dat is er geen van google, maar eentje van henzelf

Rogue DNS server hijacking Google Analytics domein.
Rogue DNS server hijacking Google Analytics domein.

Wanneer het slachtoffer surft naar een site die Google Analytics gebruikt reageert de rogue server met kwaadaardige Javascript dat advertenties geïnjecteerd in de website die bezocht wordt. Soms is de kwaadaardige Javascript gebundeld in een gewijzigde versie van het Google Analytics script om blootlegging te voorkomen..

 

De Ad Leveranciers

De kwaadaardige Javascript code die wordt bediend door de rogue Google Analytics server wisselt van een eenvoudige iframe injectie script tot een meer complex script dat meerdere advertentietags injecteert.

Het andere, meer complexe, script dat wordt geïnjecteerd via de rogue Google Analytics server is zwaar onleesbaar gemaakt om de intenties te verbergen.

Javascript code
Javascript code

Als deze encryptie wordt teruggedraaid wordt de werkelijke aard van het stukje script duidelijk:

Decrypted javascript code
Decrypted javascript code

 

Jezelf beschermen als consument

De beste bescherming beschikbaar is om te zorgen voor de firmware van de router volledig up to date is en om de standaard inlogcodes te veranderen..

Er is een website die je in staat stelt om te kijken of je DNS goed en eerlijk lijkt te werken, al zal deze waarschijnlijk niet alle vormen van kaping weten te detecteren:

https://www.ismydnshijacked.com/

 

Over Justin

Justin begeeft zich al jaren in de wereld van digitale communicatie, websites, internet beveiliging en privacy en is vanuit deze interesse VPNgids.nl gestart.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Nieuwsbrief 
Schrijf je in en maak kans op gratis VPN abonnementen 

Privacy, security en VPN nieuws

Geen SPAM! Wij delen je email adres met niemand, en sturen niet meer dan 1 email per week

Bedankt voor je inschrijving!

Bevestig je inschrijving via de email in je mailbox
(let op je spammap)