路由器是家庭網(wǎng)絡(luò)的入口,在IoT浪潮下,路由器也起到了網(wǎng)絡(luò)守護(hù)者的角色。正因?yàn)槿绱耍@幾年針對路由器的攻擊也越來越多,本文就帶大家細(xì)數(shù)這些年針對路由器的攻擊。
無線協(xié)議漏洞
早些年對路由器的攻擊方式大多基于無線協(xié)議中的漏洞。早些年無線路由使用的是WEP加密系統(tǒng),也就是“有線等效加密”,但是與很多存在問題的加密算法一樣,WEP加密也是用了RC4的加密方式。2001年8月,F(xiàn)luhrer等人發(fā)表了針對WEP的密碼分析,利用RC4加解密和IV的使用方式的特性,結(jié)果在網(wǎng)絡(luò)上偷聽幾個(gè)小時(shí)之后,就可以把RC4的鑰匙破解出來。這個(gè)攻擊方式很快就實(shí)作出來了,而自動化的工具也釋出了,只要用個(gè)人電腦、現(xiàn)成的硬件和免費(fèi)可得的軟件就能進(jìn)行這種攻擊。因此WEP在2003年被實(shí)現(xiàn)大部分IEEE 802.11i標(biāo)準(zhǔn)的WPA(Wi-Fi Protected Access)淘汰。
WPA相比WEP提升了部分安全性,WPA 的設(shè)計(jì)中要用到一個(gè) 802.1X 認(rèn)證服務(wù)器來散布不同的鑰匙給各個(gè)用戶;不過它也可以用在較不保險(xiǎn)的 ”pre-shared key” (PSK) 模式。Wi-Fi 聯(lián)盟把這個(gè)使用 pre-shared key 的版本叫做 WPA 個(gè)人版或 WPA2 個(gè)人版,用 802.1X 認(rèn)證的版本叫做 WPA 企業(yè)版或 WPA2 企業(yè)版。
WPA 的數(shù)據(jù)會以一個(gè) 128 位元的鑰匙和一個(gè) 48 位元的初向量 (IV) 的 RC4 stream cipher 來加密。WPA 超越 WEP 的主要改進(jìn)就是在使用中可以動態(tài)改變鑰匙的“臨時(shí)鑰匙完整性協(xié)定”(Temporal Key Integrity Protocol,TKIP),加上更長的初向量,這可以擊敗知名的針對 WEP 的金鑰擷取攻擊。
除了認(rèn)證和加密外,WPA 對于數(shù)據(jù)的完整性也提供了巨大的改進(jìn)。WEP 所使用的 CRC(循環(huán)冗余校驗(yàn))先天就不安全,在不知道 WEP 鑰匙的情況下,要篡改所載資料和對應(yīng)的 CRC 是可能的,而 WPA 使用了稱為 ”Michael” 的更安全的訊息認(rèn)證碼(在 WPA 中叫做訊息完整性查核,MIC)。
2004年,WPA由實(shí)現(xiàn)完整IEEE 802.11i標(biāo)準(zhǔn)的WPA2所取代。WPA2相比WPA比較重要的安全改進(jìn)是使用了AES而非原來的RC4加密方式。
事實(shí)上,無論是WPA還是WPA2都有相應(yīng)的破解方法,具體就是使用DEAUTH攻擊使已經(jīng)連接的客戶端斷開并重新連接,以產(chǎn)生握手包,之后再用字典進(jìn)行破解,但是既然使用到了字典,成功率就相當(dāng)不確定了。
2011年12月28日,安全專家Stefan Viehbock曝出WPS(Wi-Fi保護(hù)設(shè)置)功能的一個(gè)重大安全漏洞,此漏洞允許遠(yuǎn)程攻擊者使用暴力攻擊在幾小時(shí)內(nèi)就能獲取WPS的PIN碼和WPA/WPA2的PSK碼。pin碼是一個(gè)8位的整數(shù),破解過程時(shí)間比較短。WPS PIN碼的第8位數(shù)是一個(gè)校驗(yàn)和,因此黑客只需計(jì)算前7位數(shù)。另外前7位中的前四位和后三位分開認(rèn)證。所以破解pin碼最多只需要1.1萬次嘗試,順利的情況下在3小時(shí)左右。WPS認(rèn)證流程如下圖:
然而,現(xiàn)實(shí)情況是很多路由器會對窮舉PIN進(jìn)行限制,每次猜解的間隔時(shí)間會越來越長,因此小編之前做過多次嘗試從未成功。
由于攻擊方式的局限性,以上所述的漏洞大都已經(jīng)成為歷史,現(xiàn)如今對路由器的攻擊大多轉(zhuǎn)為針對特定路由器漏洞的攻擊,并且從對無線協(xié)議弱點(diǎn)的攻擊轉(zhuǎn)向?qū)β酚善鞴碳eb界面的攻擊。
針對路由器固件的攻擊
近年來有不少針對路由器的攻擊,很多知名廠商紛紛中招,并且往往連累的是一個(gè)系列的產(chǎn)品,這些路由器爆出的漏洞中很多是廠商因維護(hù)需要而開設(shè)的后門,有一些則是驗(yàn)證機(jī)制存在問題,被輕易繞過:
2016年10月,華碩路由器被P2P僵尸網(wǎng)絡(luò)程序TheMoon感染。華碩旗下RT-AC66U、RT-N66U等多款路由器中使用的ASUS WRT的infosvr中的common.c文件中存在安全漏洞,該漏洞源于程序沒有正確檢查請求的MAC地址。遠(yuǎn)程攻擊者可通過向UDP 9999端口發(fā)送NET_CMD_ID_MANU_CMD數(shù)據(jù)包利用該漏洞繞過身份驗(yàn)證,執(zhí)行任意命令。
同月,D-Link DWR-932B LTE路由器中發(fā)現(xiàn)多個(gè)后門。研究人員發(fā)現(xiàn)了D-Link無線路由器會默認(rèn)使用兩個(gè)硬編碼的秘密賬戶(admin:admin and root:1234)運(yùn)行Telnet和SSH服務(wù)。攻擊者可以輕松地用shell命令行接入這些脆弱的路由器,然后就可以進(jìn)行中間人攻擊,監(jiān)控網(wǎng)絡(luò)流量,運(yùn)行惡意腳本更改路由器設(shè)置。而如果將字符串”HELODBG”作為硬編碼命令發(fā)送到UDP端口39889就可以利用這個(gè)后門,就可以在不經(jīng)過任何驗(yàn)證的情況下在路由器上啟動一個(gè)root權(quán)限的Telnet。
2016年12月,Netgear多個(gè)型號路由器曝遠(yuǎn)程任意命令注入漏洞,攻擊者只需要構(gòu)造網(wǎng)站,在網(wǎng)址結(jié)尾加上命令,在未授權(quán)得情況下就能以Root權(quán)限執(zhí)行任意命令。
今年2月,大量Netgear路由器被曝存在密碼繞過漏洞。用戶試圖訪問路由器的web控制界面時(shí),需要進(jìn)行身份驗(yàn)證;如果身份驗(yàn)證被取消,同時(shí)密碼恢復(fù)功能被禁用了,用戶就會被重定向到一個(gè)頁面,而這個(gè)頁面會暴露密碼恢復(fù)的token。用戶提供了這個(gè)token就能獲取到路由器管理員密碼。
今年4月,數(shù)十款Linksys路由器曝高危漏洞,可致遠(yuǎn)程命令執(zhí)行及敏感信息泄露。攻擊者就可以在路由器操作系統(tǒng)上以root權(quán)限注入執(zhí)行命令。黑客可能會創(chuàng)建后門賬號以長期控制路由器。后門賬號不會在web管理界面顯示,并且不能被管理員賬號刪除。
TheMoon僵尸程序的攻擊流量
盡管以上提到的案例不多,但這些廠商在路由器市場占到了半壁江山,尤其是Netgear與Linksys,根據(jù)NPD Monthly的數(shù)據(jù)顯示,NETGEAR與LINKSYS這兩家美國老牌路由器廠商成為了該市場的第一與第二名,并且市場份額超過了60%。而來自亞太地區(qū)的D-LINK等廠商則分別領(lǐng)導(dǎo)美國市場的40%份額。
入侵路由器后,黑客便控制了受害者的上網(wǎng)入口,之后能夠進(jìn)行的攻擊超乎想象。有些黑客會修改DNS,將它改為惡意DNS,從而可以監(jiān)控流量,植入廣告,或者進(jìn)行惡意重定向,誘導(dǎo)用戶下載惡意軟件;而有一些黑客則會利用路由器進(jìn)行更大規(guī)模的DDoS攻擊,比如TheMoon僵尸程序、針對IoT設(shè)備的僵尸網(wǎng)絡(luò)Mirai。但實(shí)際上,黑客能做的遠(yuǎn)不止這些,如果要進(jìn)行針對性的攻擊,黑客在內(nèi)網(wǎng)中進(jìn)一步進(jìn)行滲透。
Mirai僵尸網(wǎng)絡(luò)影響了全球范圍內(nèi)的大量主機(jī)
而直到現(xiàn)在,仍然有大量的路由器尚未修復(fù)漏洞,小編簡單用shodan的搜索結(jié)果進(jìn)行測試,在20個(gè)搜索結(jié)果中就找到了一臺存在漏洞的Netgear R7000路由器,要注意這是前兩頁的搜索結(jié)果,可想而知肯定有大量黑客都已經(jīng)進(jìn)行過對這些結(jié)果的檢查。
之所以網(wǎng)絡(luò)中仍然存在大量漏洞的路由原因就是廠商無法進(jìn)行及時(shí)的推送,路由器雖然是網(wǎng)絡(luò)的入口,卻沒有一種完善的固件更新機(jī)制能讓用戶一直使用到最新的固件,這可能是廠商亟需解決的問題。
攻擊路由新思路
雖然上面提到的漏洞危害巨大,但有一個(gè)必要的條件是,路由器端口必須暴露在公網(wǎng),或者攻擊者需要身處同一網(wǎng)絡(luò)環(huán)境中,也就是說,黑客需要通過一些方法進(jìn)入相同的無線網(wǎng)絡(luò),要達(dá)到這一目的,除了寄希望于前文提到的無線協(xié)議漏洞,還有一些新奇的思路:
WiFi萬能鑰匙
前幾年比較火的WiFi萬能鑰匙就可以用來進(jìn)行攻擊,這款應(yīng)用會上傳你所輸入的路由器密碼,開放給他人使用。如果密碼未知,萬能鑰匙還會提供一個(gè)弱口令字典,收錄了比較常用的密碼,幫助用戶破解無線網(wǎng)絡(luò)。雖然工具的原本的目的是讓大家能夠共享網(wǎng)絡(luò),但攻擊者可以利用這款應(yīng)用成功進(jìn)入他人網(wǎng)絡(luò)進(jìn)行進(jìn)一步攻擊,針對不同的路由器黑客可以使用不同的攻擊方法,甚至借用前文所說的一些針對特定路由器的漏洞展開攻擊。
Switcher病毒
去年12月,曾有一款劫持路由器DNS設(shè)置的“Switcher”病毒,也是選擇了新的感染途徑,它會先感染手機(jī),然后利用軟件中內(nèi)置的弱口令字典爆破路由器web界面,成功后,它會設(shè)置惡意DNS作為主DNS服務(wù)器,從而劫持用戶的整個(gè)網(wǎng)絡(luò)。
Fluxion
去年年底我們還曾介紹過一款名為Fluxion的工具,它的入侵途徑不是網(wǎng)線,而是使用路由器的用戶。
Fluxion使用WPA握手功能來控制登錄頁面的行為和控制整個(gè)腳本的行為。它會阻塞原始網(wǎng)絡(luò)并創(chuàng)建一個(gè)具有相同名稱的克隆網(wǎng)絡(luò),引起斷開連接后的用戶加入,并且提供了一個(gè)虛假的路由器重新啟動或加載固件,并請求網(wǎng)絡(luò)密碼繼續(xù)登錄的頁面。當(dāng)用戶提供密碼后,攻擊者就可以借用密碼入侵網(wǎng)絡(luò),同樣的,攻擊者在進(jìn)入網(wǎng)絡(luò)后可以使用各種針對路由器的漏洞展開進(jìn)一步的攻擊。
用戶看到的假頁面
防范
對于針對無線協(xié)議漏洞的防范,相信大家都比較熟悉:在設(shè)置路由器時(shí)應(yīng)該選擇WPA/WPA2的加密方式,還要選取足夠復(fù)雜的無限密碼;為了防止PIN攻擊,還需要關(guān)閉路由中的WPS功能。
而對于那些利用路由器后門的攻擊,可以從幾方面防范:
一是檢查路由端口轉(zhuǎn)發(fā)配置。因?yàn)槭聦?shí)上家用路由很少會暴露在公網(wǎng)環(huán)境下,尤其是國內(nèi)的運(yùn)營商還會封鎖部分端口。因此,如果黑客想要從路由器的Web管理頁面入侵,那路由器得要已經(jīng)暴露在公網(wǎng)上。
二是對路由器的安全功能進(jìn)行配置,比如為路由器的Web管理頁面設(shè)置密碼,另外就是綁定MAC地址。如果沒有進(jìn)行端口轉(zhuǎn)發(fā)的配置,黑客則需要進(jìn)入Wifi網(wǎng)絡(luò)進(jìn)行入侵,無論是上面提到的WiFi萬能鑰匙還是其他入侵手法都無法避開MAC地址的檢查。
| 
