7500+台MikroTik 路由器再遭攻击

500+台MikroTik

奇虎旗下的360安全实验室报告,7500+ 台 MikroTik 路由器被植入挖矿代码并将用户流量转发给攻击者指定的 IP 地址。MikroTik 是一家拉脱维亚公司,其产品包括路由器和无线 ISP 系统。Wikileaks 披露的 CIA Vault7 黑客工具 Chimay Red 涉及到 2 个 MikroTik de 漏洞利用,包括 Winbox任意目录文件读取(CVE-2018-14847)和 Webfig 远程代码执行漏洞。研究人员利用蜜罐发现恶意软件正在利用 MikroTik CVE-2018-14847 漏洞植入 CoinHive 挖矿代码,启用 Socks4 代理,监听路由器网络流量。通过对受害者 IP 分析,俄罗斯受影响最严重。

针对MikroTik路由器的攻击者已将这些路由器配置为将网络流量转发到其控制下的少数IP地址。网络犯罪分子通过利用CVE-2018-14847获得了对这些设备的访问权限,这是一个 自4月以来已修补的漏洞。该错误发生在Winbox管理组件中,允许远程攻击者绕过身份验证并读取任意文件。犯罪分子可以从至少三个来源免费获得利用代码:

https://github.com/BasuCert/WinboxPoC

https://github.com/BigNerd95/WinboxExploit

https://n0p.me/winbox-bug-dissection/

从7月中旬开始,奇虎360网络实验室的安全研究人员在他们的“蜜罐系统”上观察到有针对Mikrotik路由器的恶意活动。据他们的观察结果显示,最近的加密劫持活动,以及一项旨在从受损设备收集通信量的活动,共计影响了超过20万台设备。

攻击者关闭用户通信量

奇虎360网络安全实验室通过今天的一篇博客文章报告,全球有超过7,500台MikroTik路由器正在向9个外部IP地址提供TZSP(TaZmen嗅探协议)流量。

根据研究人员的说法,攻击者修改了设备的数据包嗅探设置,将数据转发到他们的IP地址。奇虎专家告知我们:“37.1.207.114是所有攻击者中最主要的一个,大量设备的通信流量最终都到达了这一目的地”。分析表明,攻击者对端口20,21,25,110和144特别感兴趣,这些端口用于FTP数据,FTP,SMTP,POP3和IMAP通信。但目前研究人员无法解释的是来自SNMP(简单网络管理协议)端口161和162的流量有点不寻常。500+台MikroTik

通过对受害者 IP 分析,俄罗斯受影响最严重,受损设备达到了1628台。其次是伊朗(637台)、巴西(615台)、印度(594台)和乌克兰(544台)。研究人员表示,受影响国家的安全机构可以通过netlab[at]360.cn 与他们联系,获取完整的IP地址清单。

挖矿操作失败

奇虎360的分析报告发现,目前在线曝光的MikroTik设备中约有31%易受CVE-2018-14847攻击,一共包括37万个端点,其中大部分存在于巴西和俄罗斯。

当前的攻击试图通过基于浏览器的Coinhive 加密脚本来感染它们。网络犯罪分子通过将HTTP代理设置重定向到他们创建的错误页面来实现这一点,在那里他们放置了挖矿脚本。

“通过这样做,攻击者希望对用户设备上的所有代理流量进行Web挖掘,”研究人员称。但是,攻击者犯了一个错误,他们设置了代理访问控制列表,阻止了所有外部Web资源,包括那些挖矿操作所需的资源。500+台MikroTik

恶意Sock4代理设置

受攻击的MikroTik路由器大都配置了恶意Socks4代理,允许从95.154.216.128/25 这一IP地址块进行访问。为了实现攻击持久性,攻击者在设备上安排了一项任务,通过连接到特定的URL来报告其当前的IP地址。

500+台MikroTik

“此时,所有239K IP仅允许从95.154.216.128/25访问,实际上主要是95.154.216.167。很难说出攻击者使用这些Sock 4代理程序的目的是什么,但我们认为弄清楚他们的目的非常必要。”专家们说。

研究人员最后建议Mikrotik用户在设备上安装最新的固件版本。根据奇虎360提供的信息,用户可以检查HTTP代理、Socks 4代理和网络流量捕获功能是否被恶意行为者激活和利用。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/113092.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code