«В руки» ИБ-экспертам попался исходный код GhostDNS

Исследователям безопасности компании Avast удалось получить неограниченный доступ к компонентам набора эксплоитов GhostDNS после того, как вредоносный пакет сам попался им «в руки».

GhostDNS представляет собой набор эксплоитов для маршрутизаторов, который с помощью межсайтовой подделки запросов (CSRF) меняет настройки DNS и переадресовывает пользователей на фишинговые страницы для похищения их учетных данных для авторизации на различных ресурсах (сервисах online-банкинга, новостных сайтах, стриминговых сервисах и пр.).

Весь исходный код набора эксплоитов вместе с фишинговыми страницами в виде RAR-архива был опубликован на файлообменном сайте беспечным пользователем, очевидно не преследовавшим никаких преступных целей. Пользователь не защитил архив паролем и оставил включенным антивирусное ПО Avast с активным компонентом Web Shield, защищающим от вредоносного web-контента, что дало аналитикам Avast возможность тщательно изучить GhostDNS.

«Мы загрузили связанный файл и обнаружили весь исходный код набора эксплоитов GhostDNS», – сообщили исследователи.

Название архива KL DNS.rar указывает на то, что инструмент использует перехват DNS (DNS hijacking) и кейлоггинг для похищения учетных данных своих жертв. Всего в архиве содержалось два метода осуществления атак на маршрутизаторы, Router EK и BRUT, и оба они использовали CSRF для изменения настроек DNS.

Router EK атакует из локальной сети и требует от пользователя нажатия на вредоносную ссылку. BRUT представляет собой сканер для поиска доступных через интернет маршрутизаторов и атак на них без участия пользователя.

Исследователи обнаружили список префиксов IP-адресов в 69 странах (чаще всего в Южной Америке). Для каждого префикса было просканировано 65 536 адресов. После того, как атакующий выбирал префикс, некоторые версии набора эксплоитов печатали название GhostDNS (с ошибкой – GostDNS вместо GhostDNS) с целью проинформировать операторов о выполнении CSRF.