歡迎光臨
每天分享高質量文章

【每日安全資訊】20多萬台MikroTik路由器被黑,用戶被迫扛起鋤頭挖礦

研究人員發現20 多萬台MikroTik路由器被黑客接管,讓用戶不知不覺中為他們挖礦。

近日,安全研究人員發現了一場針對MikroTik路由器的大規模惡意劫持活動,利用Mikrotik企業路由器中的一個已知漏洞來接管路由器,向用戶訪問的頁面註入Coinhive挖礦腳本。用戶打開該網頁後即開始挖掘門羅幣,而挖礦所得將轉發至黑客的賬戶地址。

Trustwave SpiderLabs的安全研究員Simon Kenin表示,攻擊的首先從巴西開始,第一階段即感染了約72000台MikroTik路由器。

隨後,這場惡意攻擊迅速波及到全球20多萬台MikroTik路由器,截至本文編譯完成時,這一數字仍在增長。

攻擊方式

本次攻擊利用了MikroTik於今年4月23日修補的零日漏洞,雖然MikroTik修複該漏洞前後只用了一天,但還有成千上萬的MikroTik路由器未能及時打上補丁,導致黑客乘虛而入。

該漏洞使得黑客能夠通過Winbox從設備讀取檔案,獲得對MikroTik路由器的未經身份驗證的遠程管理員訪問權限。初步調查顯示,黑客並不是在路由器上運行惡意可執行檔案,而是通過路由器功能推送包含Coinhive挖礦腳本的自定義錯誤頁面。

以下是Simon Kenin的分析:
首先,在Shodan 搜索引擎上看到的所有頁面實際上都是webproxy錯誤頁面,可見黑客創建了一個包含Coinhive腳本的自定義錯誤頁面:

黑客在檔案系統中創建了一個自定義的錯誤頁面

該頁麵包含的內容

經過測試和Reddit用戶的報告,會發生兩種情況:

接入到該路由器的用戶,只要用戶在瀏覽網頁時跳轉到任何型別的錯誤頁面,都會打開這個包含Coinhive挖礦腳本的自定義錯誤頁面。

如果後端本地服務器也連接到路由器,只要用戶連接到了這個服務器,哪怕沒有直接連接到受感染路由器,也會受到影響。

而根據Reddit上一些用戶的報告,他們在瀏覽網頁時,每個網頁都被註入了Coinhive挖礦代碼。

得知該信息後,Simon Kenin進一步調查發現了另外一個腳本:

“script3_”腳本

用戶一連上路由器,腳本就開動了

從上圖中可以看到,用戶一連接到無線網絡,腳本立即執行。

由於服務器上沒有mikrotik.php檔案,因此該檔案內容未知。它可能是用於將Coinhive挖礦代碼註入每個html頁面的腳本,至於如何實現,在本調查中也未能揭示,只能說這些黑客對於MikroTik路由器配置有著極深的理解。

為什麼這麼說?請看以下截圖,揭示了該攻擊的持續機制:

黑客添加的後臺任務

一共有兩個任務:

連接到另一臺主機“min01.com”,並獲取一個新的“error.html”檔案。這是為了Coinhive平臺屏蔽了黑客當前使用的站點密鑰後,使用另一個站點密鑰來替換它。

下載並執行為名為“u113.rsc”的腳本。目前可以看到該腳本僅用於占位,但這一看就知道是向所有被接管的設備發送附加命令的一種途徑。

在編譯本文時看到的腳本內容

在調查過程中,Simon Kenin還確定了黑客在尋找新的包含該漏洞的路由器時使用的腳本:

路由器受到感染時執行的命令

我們可以看到該腳本修改了一些系統設置、啟用了代理、獲取了自定義錯誤頁面,並根據需要創建了更新的計劃任務,最後還創建了名為“ftu”的後門帳戶。

這個腳本正不斷添加更多清理命令,進一步降低占用空間並減少將Coinhive挖礦代碼註入每個網頁時產生的線索,最終降低被檢測的風險。

越來越小心的黑客

從大張旗鼓的加密勒索軟體,到現在隱藏在信息流里的挖礦代碼,黑客的思維方式也從一鎚子買賣轉向了更長久的非法利益。

在海量的網頁中註入Coinhive挖礦代碼不可能不被髮現,越來越多用戶的怒火必然會推動用戶自己和ISP調查問題的根源。安全研究員Simon Kenin在進行調查時,只在路由器傳回的錯誤頁面中發現了註入的Coinhive腳本,這說明其他用戶在網絡上提出問題之後,黑客切換了策略,縮小攻擊面的同時提升了攻擊的量級,即僅在錯誤頁面註入挖礦代碼,感染更多的MikroTik路由器。但由於部署MikroTik路由器的企業數量巨大,包含該挖礦代碼的頁面的出現次數仍可達到數百萬次。

在管理員為路由器打上補丁之前,這場攻擊仍將繼續,Freebuf小編將持續關註併為大家更新信息,也請使用MikroTik路由器的小伙伴趕緊自查起來。

參考來源:The Register ,FB小編Freddy編譯,轉載請註明來自FreeBuf.COM

更多資訊

◈ GitHub發佈Python安全警告 識別依賴包的安全漏洞

http://t.cn/RekP1M5

◈ 通用電氣華裔工程師利用加密技術竊取和隱藏公司機密

http://t.cn/RekPdKs

◈ 谷歌下架上百款被惡意PE感染的 App 你中招了嗎?

http://t.cn/RekPDGz

◈ 十三部門聯手整治騷擾電話 嚴厲打擊泄露個人信息違法行為

http://t.cn/RekPsyR

(信息來源於網絡,安華金和搜集整理)

赞(0)

分享創造快樂