49

20多万台MikroTik路由器被黑,用户被迫扛起锄头挖矿

 6 years ago
source link: http://www.freebuf.com/news/179669.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

研究人员发现20 多万台MikroTik路由器被黑客接管,让用户不知不觉中为他们挖矿。

近日,安全研究人员发现了一场针对MikroTik路由器的大规模恶意劫持活动,利用Mikrotik企业路由器中的一个已知漏洞来接管路由器,向用户访问的页面注入Coinhive挖矿脚本。用户打开该网页后即开始挖掘门罗币,而挖矿所得将转发至黑客的账户地址。

Trustwave SpiderLabs的安全研究员Simon Kenin表示,攻击的首先从巴西开始,第一阶段即感染了约72000台MikroTik路由器。

jaMnmqa.jpg!web

随后,这场恶意攻击迅速波及到全球20多万台MikroTik路由器,截至本文编译完成时,这一数字仍在增长。

攻击方式

本次攻击利用了MikroTik于今年4月23日修补的零日漏洞,虽然MikroTik修复该漏洞前后只用了一天,但还有成千上万的MikroTik路由器未能及时打上补丁,导致黑客乘虚而入。

该漏洞使得黑客能够通过Winbox从设备读取文件,获得对MikroTik路由器的未经身份验证的远程管理员访问权限。初步调查显示,黑客并不是在路由器上运行恶意可执行文件,而是通过路由器功能推送包含Coinhive挖矿脚本的自定义错误页面。

以下是Simon Kenin的分析:

首先,在Shodan 搜索引擎上看到的所有页面实际上都是webproxy错误页面,可见黑客创建了一个包含Coinhive脚本的自定义错误页面:

bYN3iq7.jpg!web

黑客在文件系统中创建了一个自定义的错误页面

nQve6vI.jpg!web

该页面包含的内容

经过测试和Reddit用户的报告,会发生两种情况:

接入到该路由器的用户,只要用户在浏览网页时跳转到任何类型的错误页面,都会打开这个包含Coinhive挖矿脚本的自定义错误页面。

如果后端本地服务器也连接到路由器,只要用户连接到了这个服务器,哪怕没有直接连接到受感染路由器,也会受到影响。

而根据Reddit上一些用户的报告,他们在浏览网页时,每个网页都被注入了Coinhive挖矿代码。

得知该信息后,Simon Kenin进一步调查发现了另外一个脚本:

baeuYvF.jpg!web

“script3_”脚本

IjUrEfi.jpg!web

用户一连上路由器,脚本就开动了

从上图中可以看到,用户一连接到无线网络,脚本立即执行。

由于服务器上没有mikrotik.php文件,因此该文件内容未知。它可能是用于将Coinhive挖矿代码注入每个html页面的脚本,至于如何实现,在本调查中也未能揭示,只能说这些黑客对于MikroTik路由器配置有着极深的理解。

为什么这么说?请看以下截图,揭示了该攻击的持续机制:

Jviqmyf.jpg!web

黑客添加的后台任务

一共有两个任务:

连接到另一台主机“min01.com”,并获取一个新的“error.html”文件。这是为了Coinhive平台屏蔽了黑客当前使用的站点密钥后,使用另一个站点密钥来替换它。

下载并执行为名为“u113.rsc”的脚本。目前可以看到该脚本仅用于占位,但这一看就知道是向所有被接管的设备发送附加命令的一种途径。

MBRniie.jpg!web

在编译本文时看到的脚本内容

在调查过程中,Simon Kenin还确定了黑客在寻找新的包含该漏洞的路由器时使用的脚本:

ami6fay.jpg!web

路由器受到感染时执行的命令

我们可以看到该脚本修改了一些系统设置、启用了代理、获取了自定义错误页面,并根据需要创建了更新的计划任务,最后还创建了名为“ftu”的后门帐户。

这个脚本正不断添加更多清理命令,进一步降低占用空间并减少将Coinhive挖矿代码注入每个网页时产生的线索,最终降低被检测的风险。

越来越小心的黑客

从大张旗鼓的加密勒索软件,到现在隐藏在信息流里的挖矿代码,黑客的思维方式也从一锤子买卖转向了更长久的非法利益。

在海量的网页中注入Coinhive挖矿代码不可能不被发现,越来越多用户的怒火必然会推动用户自己和ISP调查问题的根源。安全研究员Simon Kenin在进行调查时,只在路由器返回的错误页面中发现了注入的Coinhive脚本,这说明其他用户在网络上提出问题之后,黑客切换了策略,缩小攻击面的同时提升了攻击的量级,即仅在错误页面注入挖矿代码,感染更多的MikroTik路由器。但由于部署MikroTik路由器的企业数量巨大,包含该挖矿代码的页面的出现次数仍可达到数百万次。

在管理员为路由器打上补丁之前,这场攻击仍将继续,Freebuf小编将持续关注并为大家更新信息,也请使用MikroTik路由器的小伙伴赶紧自查起来。

参考来源: The Register ,FB小编Freddy编译,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK