了解劫持者在控制我的路由器时正在做什么/已经做了什么

了解劫持者在控制我的路由器时正在做什么/已经做了什么

最近家里装了带直播功能的安防摄像头,摄像头连上路由器,上传到公司的服务器,我就能在手机上看直播了。

来安装摄像头的人更改了很多路由器设置(我认为他做了某种重置,因为我的转发端口消失了,保存的模板也消失了),并且还更改了用户名和密码,以便不再需要用户名和密码 - 任何通过 WiFi 连接的人都可以通过简单访问来访问管理页面192.168.1.1(听起来像是一个巨大的漏洞,因此非常可疑)。

现在,在我玩游戏的过程中,我注意到路由器设置突然发生了变化,因为在他们移除我的转发端口后,我启用了 UPnP,但现在在我尝试玩游戏时,它又被禁用了。我进入路由器页面查看他们做了什么,我看到再次需要用户名和密码,但他们已经更改了它,所以我现在甚至无法自己访问该页面。他们基本上劫持了路由器。

我想弄清楚他们在干什么。我的电脑连接到路由器,我可以物理访问它。但是,我不想只是物理重置路由器并切断他们的访问权限,除非这能让我看到他们做了什么。换句话说:我想当场抓住他们。

此外,当他们拥有对路由器的完全访问权限时,他们可以窃听 HTTP 吗?HTTPS?是否还有其他我还没有想到的安全问题?

路由器是 Thomson Technicolor TG799vn v2。

我安装了一个名为 Capsa 的程序,也许它是完成这项工作的完美工具。但是,我知识匮乏,无法进行适当的分析。

答案1

路由器是一台 Linux 计算机,因此任何有权限的 Linux 程序员都可以对其进行编程,使其执行硬件功能范围内的任何操作。如果他们还具有网络访问权限,他们可以上传程序、下载视频、将任何摄像头视频镜像到他们的互联网服务器上,基本上就是路由器可以访问的任何内容。然后他们可以将这些视频上传到互联网上的任何地方。

他们还能拦截你的互联网会话、记录密码、复制收到和发送的电子邮件。通过路由器的任何东西都可能成为目标。

他们无法看到你的电脑。因此,如果你通过桌面登录 VPN,他们无法拦截你的登录,除非 VPN 桌面程序愚蠢地以明文形式发送你的 ID 和密码。不幸的是,HTTPS 中间人攻击确实存在,而你的路由器正处于中间。

为了查明他们究竟是如何攻击你的路由器的,需要一名取证专家转储你路由器的系统磁盘并将其内容与原始映像进行比较。

您可以在路由器和互联网供应商 (ISP) 之间放置一个专门的跟踪设备,以跟踪路由器是否经常未经请求地连接到您未请求的互联网地址。这样可以当场抓住他们,并作为法律证据。不幸的是,我不推荐任何这样的设备,但在亚马逊上搜索肯定会找到一个。

然而,与此同时,每当您连接到需要输入用户名和密码的网站时,您都面临着将这些信息泄露给骗子的风险,骗子会利用这些信息来对付您。如果您在其他网站或服务上使用过相同的密码,那么您也面临着他们获得访问权限的风险。

我真的不认为安装路由器的人应该受到指责,或者可能只是因为他们在不知情的情况下留下了一些后门。我宁愿认为有组织的犯罪团伙利用一些零日漏洞侵入了你的路由器型号。因此,你会发现,未经请求的通信最多会发送到俄罗斯的某个地方,或者其他地方,在那里他们不会受到当地执法机构的监控。

我的建议是从 Thomson(或您的 ISP)下载并安装最新的路由器固件,这可能会关闭路由器中的后门,通过关闭所有 Internet 控制选项和更改所有默认密码来保护路由器,最后在任何地方更改所有密码。

任何地方都是指路由器上的密码以及您可能通过路由器登录的任何网站或服务上的密码,或者您在其他地方使用的任何密码。您抓到某人并能采取措施的可能性比他们对您造成伤害的可能性要低得多。

正如用户 cybernard 在下面评论的那样,如果他们设法在计算机上安装任何恶意软件,您的计算机也面临成为僵尸网络一部分的风险。使用多种防病毒产品在您的计算机上运行恶意软件测试,并在将来继续这样做,因为骗子总是领先于好人。真正安全的操作是同时重新格式化和安装计算机和路由器,但这可能有点过分。

答案2

实际上只有两种可能性:

  • 攻击者可以访问路由器的 Web 界面。他可以利用它来执行以下操作:
    • 创建端口转发以公开内部资源/设备
    • (可能)窃取你的互联网访问凭证
    • 更改 DNS 服务器(每个人都喜欢)以将你重定向到欺诈性网站
    • (不太可能)利用一些漏洞来访问非官方功能
    • 更换固件,导致
  • 攻击者已经切换了路由器的固件,从而允许他们:
    • 不受限制地访问您的内部网络
    • 拦截所有网络和互联网通信
    • 永久地(甚至在恢复出厂设置后)将您的路由器变成间谍盒。

如果是后者,那么路由器已经不能用了。不过不要扔掉,这是证据。

话虽如此,第二种可能性极小,因为这需要付出很多努力。这更像是一种“外国情报”之类的事情。

由于消费级路由器通常不提供拦截流量的功能,因此它们拦截数据的唯一方法(无需更换固件)是更改 DNS 服务器。当然,这只会影响通过 DHCP 获取 DNS 设置的设备。

这件事是怎么发生的?由于路由器不再需要身份验证,因此很可能发生跨站点请求伪造攻击。这意味着您访问了一个欺诈/受感染的网站,该网站会自动攻击您的路由器。

总结:你抓不到攻击者,因为根本就没有攻击者。一切都是自动化的。

相关内容