在上个月,我们了解到了一场针对巴西人的大型加密货币挖掘恶意软件分发活动,主要受影响的是MikroTik路由器。结合各方报道来看,最终有超过20万台MikroTik路由器受到了感染,攻击者以此在巴西各地创建了一个庞大的XMR矿工僵尸网络。
根据360网络安全研究院的说法,攻击者在这场活动中使用了由维基解密披露的CIA Vault7黑客工具Chimay Red,并涉及到两个与MikroTik路由相关的漏洞利用——Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。
从最新公布的数据来看,自7月中旬以来,在37万台易受攻击的MikroTik路由器中,已有超过7500台遭到恶意入侵。360网络安全研究院,攻击者正在利用CVE-2018-14847漏洞向这些路由器植入CoinHive挖矿代码,启用Socks4代理,以及监听路由器网络流量等。
Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是MikroTik路由器的一个组件并被设计为路由器管理系统。Winbox和Webfig与MikroTik路由器的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。
通过对全网TCP/8291端口的扫描分析,360网络安全研究院发现开放该端口的IP数量为500万个,有120万个被确认为Mikrotik路由器。其中,有 37万台(30.83%)Mikrotik设备受CVE-2018-14847漏洞影响。
从上图我们可以看出,这些路由器遍布俄罗斯、伊朗、巴西、印度、乌克兰、孟加拉国、印度尼西亚、厄瓜多尔、美国、阿根廷、哥伦比亚、波兰、肯尼亚、伊拉克以及一些欧洲和亚洲国家(包括我国),其中以俄罗斯数量最多。
360网络安全研究院指出,攻击者在启用MikroTik路由器http代理功能之后,设法将所有的HTTPProxy请求都重定向到一个本地的HTTP 403 error.html页面。在这个页面中,攻击者嵌入了一个来自CoinHive.com的挖矿代码链接。通过这种方式,攻击者便可以利用所有经过路由器上HTTP代理的流量来挖掘加密货币,进而获取非法收益。
目前,360网络安全研究院共检测到了 23.9万 个IP被恶意启用了Socks4代理。由于MikroTik 路由器会更新IP地址,因此攻击者设置了定时任务来访问特定的URL以此获取最新的IP地址。此外,攻击者也正在通过这些Socks4代理进行扫描,以寻找更多易受攻击的MikroTik路由器。
由于MikroTik路由器允许用户抓包并转发到指定的Stream服务器,因此攻击者同样能够将来自受感染路由器的网络流量转发到指定的IP。
目前,已经有7500台MikroTik路由器被360网络安全研究院确认为遭到了非法监听,并将TZSP流量转发到了多个指定的IP,通信端口UDP/37008。
就拿其中一个IP(37.1.207.114)来说,它主要监听的是TCP协议20、21、25、110和143端口,分别对应FTP-data、FTP、SMTP、POP3和IMAP协议流量。值得注意的是,这些应用协议都是通过明文传输数据的。因此,攻击者可以完全掌握连接到该设备下的所有受害者的相关网络流量,包括FTP文件,FTP账号密码,电子邮件内容,电子邮件账号密码等。
出于安全考虑,360网络安全研究院没有向公众分享所有受害者的IP地址,但表示受影响国家的相关安全实体可以与该公司取得联系,以获取受感染IP地址的完整列表。
MikroTik路由器用户被建议及时更新软件系统,同时检测http代理、Socks4代理和网络流量抓包功能是否被攻击者恶意利用。此外,MikroTik厂商也被建议禁止向互联网开放Webfig和Winbox端口,并完善软件安全更新机制。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
版权声明:我们致力于保护作者版权,注重分享,被刊用文章【路由器代理(数千台MikroTik路由器沦为)】因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!;
工作时间:8:00-18:00
客服电话
电子邮件
beimuxi@protonmail.com
扫码二维码
获取最新动态
