路由器不再安全!数十万台MikroTik路由器已被恶意软件控制

据悉,软路由器厂商MikroTik公司大批量路由器被滥用,导致了“近年来最大规模之一的僵尸网络犯罪及服务活动”。

 

根据捷克安全软件公司Avast发布的一项新研究,利用Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件进行的加密货币挖矿活动都是使用同一个命令和控制(C2)服务器分发的。

捷克安全软件公司Avast的高级恶意软件研究员Martin Hron在一篇文章中说:“C2服务器充当僵尸网络即服务,控制着近230000台易受攻击的MikroTik路由器,这可能与现在所谓的Mēris僵尸网络有关。”

据了解,该僵尸网络利用了MikroTik路由器Winbox组件中的一个已知漏洞CVE-2018-14847,使攻击者能够对任何受影响的设备进行未经验证的远程管理访问。2021年9月下旬,部分Mēris僵尸网络被摧毁。

Martin Hron表示:CVE-2018-14847漏洞于2018年被公布,它使这个僵尸网络背后的网络犯罪分子能够控制这些路由器,并将它们作为一种服务进行出租,MikroTik为此发布了一个修复程序。

在捷克安全软件公司Avast于2021年7月观察到的攻击链中,易受攻击的MikroTik路由器的目标是从一个名为bestony[.]club的域中检索第一阶段有效载荷,然后从第二个域globalmoby[.]xyz获取额外的脚本。这两个域名都与同一个IP地址116.202.93[.]14相连,进而又发现了7个在攻击中被活跃使用的域,其中tik.anyget[.]ru被用于向目标主机提供Glupteba恶意软件样本。

Martin Hron说:“当请求访问https://tik.anyget[.]ru时,我被重新定向到https://routers.rip/site/login(该域又再次被Cloudflare代理隐藏),这是一个控制面板,用于编排被控制的MikroTik路由器,页面显示了连接到僵尸网络的设备的实时计数器。”

但是据说在2021年9月初关于Mēris僵尸网络的细节进入公众领域之后,C2服务器突然停止提供脚本,然后完全消失。

这一披露也与微软的一份新报告相吻合,该报告揭示了TrickBot恶意软件如何将MikroTik路由器武器化,用来命令远程服务器和控制通信,这增加了运营商使用相同的僵尸网络即服务的可能性。

鉴于这些攻击,用户被建议使用最新的安全补丁更新路由器,设置强大的路由器密码,并从公共端禁用路由器的管理界面。

Martin Hron说:“这也表明,考虑到所有不同的架构和操作系统版本,很难编写和大规模传播恶意软件,攻击者不仅将物联网设备作为运行恶意软件的重大目标,而且利用它们的法律和内置功能将它们设置为代理服务器。这样做是为了匿名化攻击者的痕迹,或者作为DDoS的放大工具。”

软路由器厂商MikroTik表示,这个数字在他们2018年发布补丁之前是真实的,补丁发布后,实际受影响的设备数量接近20000台,这些设备仍然运行较旧的软件。此外,并不是所有的电脑都受到僵尸网络的控制,即使运行的是旧软件,许多电脑也都有严密的防火墙。

捷克安全软件公司Avast表示,约230000台的受影响设备数量反映了僵尸网络被破坏之前的状态,然而,仍有一些孤立的路由器,其证书已被破坏或一直未打补丁。

发表评论

评论已关闭。

相关文章