当前位置:主页 > 资料 >

20多万台MikroTik路由器被黑,用户被迫扛起锄头挖
栏目分类:资料   发布日期:2018-08-03   浏览次数:

导读:本文为去找网小编(www.7zhao.net)为您推荐的20多万台MikroTik路由器被黑,用户被迫扛起锄头挖矿,希望对您有所帮助,谢谢! 近日,安全研究人员发现了一场针对MikroTik路由器的大规模恶意

本文为去找网小编(www.7zhao.net)为您推荐的20多万台MikroTik路由器被黑,用户被迫扛起锄头挖矿,希望对您有所帮助,谢谢! 去找(www.7zhao.net欢迎您



近日,安全研究人员发现了一场针对MikroTik路由器的大规模恶意劫持活动,利用Mikrotik企业路由器中的一个已知漏洞来接管路由器,向用户访问的页面注入Coinhive挖矿脚本。用户打开该网页后即开始挖掘门罗币,而挖矿所得将转发至黑客的账户地址。 本文来自去找www.7zhao.net

Trustwave SpiderLabs的安全研究员Simon Kenin表示,攻击的首先从巴西开始,第一阶段即感染了约72000台MikroTik路由器。 去找(www.7zhao.net欢迎您

内容来自www.7zhao.net

随后,这场恶意攻击迅速波及到全球20多万台MikroTik路由器,截至本文编译完成时,这一数字仍在增长。

copyright www.7zhao.net

攻击方式

本次攻击利用了MikroTik于今年4月23日修补的零日漏洞,虽然MikroTik修复该漏洞前后只用了一天,但还有成千上万的MikroTik路由器未能及时打上补丁,导致黑客乘虚而入。

去找(www.7zhao.net欢迎您

该漏洞使得黑客能够通过Winbox从设备读取文件,获得对MikroTik路由器的未经身份验证的远程管理员访问权限。初步调查显示,黑客并不是在路由器上运行恶意可执行文件,而是通过路由器功能推送包含Coinhive挖矿脚本的自定义错误页面。 www.7zhao.net

以下是Simon Kenin的分析:

首先,在Shodan 搜索引擎上看到的所有页面实际上都是webproxy错误页面,可见黑客创建了一个包含Coinhive脚本的自定义错误页面:

内容来自www.7zhao.net

欢迎访问www.7zhao.net

黑客在文件系统中创建了一个自定义的错误页面

内容来自www.7zhao.net

copyright www.7zhao.net

该页面包含的内容

内容来自www.7zhao.net

经过测试和Reddit用户的报告,会发生两种情况: 去找(www.7zhao.net欢迎您

接入到该路由器的用户,只要用户在浏览网页时跳转到任何类型的错误页面,都会打开这个包含Coinhive挖矿脚本的自定义错误页面。 内容来自www.7zhao.net

如果后端本地服务器也连接到路由器,只要用户连接到了这个服务器,哪怕没有直接连接到受感染路由器,也会受到影响。 去找(www.7zhao.net欢迎您

而根据Reddit上一些用户的报告,他们在浏览网页时,每个网页都被注入了Coinhive挖矿代码。

内容来自www.7zhao.net

得知该信息后,Simon Kenin进一步调查发现了另外一个脚本:

copyright www.7zhao.net

去找(www.7zhao.net欢迎您

“script3_”脚本 www.7zhao.net

欢迎访问www.7zhao.net

用户一连上路由器,脚本就开动了

本文来自去找www.7zhao.net

从上图中可以看到,用户一连接到无线网络,脚本立即执行。 copyright www.7zhao.net

由于服务器上没有mikrotik.php文件,因此该文件内容未知。它可能是用于将Coinhive挖矿代码注入每个html页面的脚本,至于如何实现,在本调查中也未能揭示,只能说这些黑客对于MikroTik路由器配置有着极深的理解。 本文来自去找www.7zhao.net

为什么这么说?请看以下截图,揭示了该攻击的持续机制:

内容来自www.7zhao.net

本文来自去找www.7zhao.net

黑客添加的后台任务

www.7zhao.net

一共有两个任务:

内容来自www.7zhao.net

连接到另一台主机“min01.com”,并获取一个新的“error.html”文件。这是为了Coinhive平台屏蔽了黑客当前使用的站点密钥后,使用另一个站点密钥来替换它。 本文来自去找www.7zhao.net

下载并执行为名为“u113.rsc”的脚本。目前可以看到该脚本仅用于占位,但这一看就知道是向所有被接管的设备发送附加命令的一种途径。 内容来自www.7zhao.net

去找(www.7zhao.net欢迎您

在编译本文时看到的脚本内容 本文来自去找www.7zhao.net

在调查过程中,Simon Kenin还确定了黑客在寻找新的包含该漏洞的路由器时使用的脚本: 内容来自www.7zhao.net

欢迎访问www.7zhao.net

路由器受到感染时执行的命令 内容来自www.7zhao.net

我们可以看到该脚本修改了一些系统设置、启用了代理、获取了自定义错误页面,并根据需要创建了更新的计划任务,最后还创建了名为“ftu”的后门帐户。

本文来自去找www.7zhao.net

这个脚本正不断添加更多清理命令,进一步降低占用空间并减少将Coinhive挖矿代码注入每个网页时产生的线索,最终降低被检测的风险。

去找(www.7zhao.net欢迎您

越来越小心的黑客

从大张旗鼓的加密勒索软件,到现在隐藏在信息流里的挖矿代码,黑客的思维方式也从一锤子买卖转向了更长久的非法利益。 欢迎访问www.7zhao.net

在海量的网页中注入Coinhive挖矿代码不可能不被发现,越来越多用户的怒火必然会推动用户自己和ISP调查问题的根源。安全研究员Simon Kenin在进行调查时,只在路由器返回的错误页面中发现了注入的Coinhive脚本,这说明其他用户在网络上提出问题之后,黑客切换了策略,缩小攻击面的同时提升了攻击的量级,即仅在错误页面注入挖矿代码,感染更多的MikroTik路由器。但由于部署MikroTik路由器的企业数量巨大,包含该挖矿代码的页面的出现次数仍可达到数百万次。 本文来自去找www.7zhao.net

在管理员为路由器打上补丁之前,这场攻击仍将继续,Freebuf小编将持续关注并为大家更新信息,也请使用MikroTik路由器的小伙伴赶紧自查起来。

去找(www.7zhao.net欢迎您

参考来源: ,FB小编Freddy编译,转载请注明来自FreeBuf.COM www.7zhao.net

内容来自www.7zhao.net


本文原文地址:http://www.freebuf.com/news/179669.html

以上为20多万台MikroTik路由器被黑,用户被迫扛起锄头挖矿文章的全部内容,若您也有好的文章,欢迎与我们分享!

内容来自www.7zhao.net

Copyright ©2008-2017去找网版权所有   皖ICP备12002049号-2 皖公网安备 34088102000435号   关于我们|联系我们| 免责声明|友情链接|网站地图|手机版