天创培训:您身边的信息安全培训专家!
行业动态
对ISP级路由器的大型加密攻击蔓延全球

对ISP级路由器的大型加密攻击蔓延全球

近日大规模的黑客攻击活动使超过20万的MikroTik路由器利用漏洞在网站中嵌入Coinhive脚本。根据Trustwave的Secure Web Gateway(SWG)团队的说法,感染活动主要针对巴西,但感染对象实际在全球范围内增长。“这是一个警告信息,提醒所有拥有MikroTik设备的人尽快修补漏洞,”Trustwave研究员Simon Kenin 表示。

MikroTik路由器被大型企业和互联网服务提供商使用,每天为成千上万的用户提供网页服务,这意味着每次攻击都会为攻击者带来巨大收益。团队成员Kenin认为,“攻击者很‘明智’,他们不会感染访客很少的小网站,也没有找到在最终用户计算机上运行恶意软件的复杂方法,而是直接找到源头:运营商级路由器设备。虽然加密币是这一攻击浪潮的主要目标,但攻击脚本具有持久性和灵活性,可以更改和添加新功能,从而加剧威胁。”

攻击的“成果”表明人们忽视了补丁的重要性。此次攻击活动利用了4月23日MikroTik修补的路由器中已知的漏洞,MalwareHunter在推特上展示了攻击行为所利用的漏洞,它针对Winbox,并允许攻击者获得对任何易受攻击的MikroTik路由器的未经身份验证的远程管理访问。

“初步调查表明,攻击者不是在路由器本身上运行恶意可执行文件,而是在首次发现漏洞时利用了漏洞,攻击者使用路由器的设备功能将CoinHive脚本注入用户的每个网页拜访。”

此外,研究人员发现许多被入侵的页面实际上是webproxy的错误页面,这意味着攻击者创建了一个带有CoinHive脚本的自定义错误页面。Kenin进一步解释:“如果用户在浏览网页时收到任何类型的错误页面,他们就会得到一个定制的错误页面,这个页面会为攻击者挖掘隐藏的错误。后端Apache服务器也连接到路由器,在此过程中出现错误就会显示给我。”这意味着,这也会影响那些没有直接连接到受感染路由器网络的用户,也会影响访问受感染路由器背后网站的用户。换句话说,攻击是双向的。

Trustwave的研究表明,攻击者已经建立了攻击机制,为现有的感染提供了未来的潜力。

同时,在路由器被感染时执行的命令中,为了在需要时及时更新,有一个创建计划任务。例如,他/她已经安排了一个连接到另一个主机的任务并获取一个新的“error.html”文件 - 可能是因为站点密钥被阻止而必须使用另一个替换。

攻击者还安排了一个任务,下载并执行为名为“u113.rsc”的MikroTik路由器编写的脚本,还创建了名为“ftu”的后门帐户。“当我们检查时,脚本只是用作占位符,但它显然是攻击者向所有受到攻击的设备发送附加命令的方式,”Kenin解释他注意到脚本在他调查期间正在更新。这些更新添加了更多清理命令,以减少占用空间并降低被检测的风险。

“MikroTik用户需要确保他们的RouterOS与最新的安全补丁保持同步。” Bad Packets报告的安全研究员Troy Mursch通过电子邮件说道。“否则,正如我们当前所看到的,他们可能会因为注入加密劫持恶意软件而受到攻击。犯罪分子很容易大规模地危害用户。“

幸运的是,被攻击的运营商级路由器肯定是令人担忧的,但最终用户仍有选择权。解密可以在浏览器中停止(MinerBlock扩展)并在本地防火墙(CoinBlockerLists)上被阻止。关于将CoinHive注入HTTP流量,如果请求是通过HTTPS进行的,这通常是可以避免的。这取决于被访问的网站。并非每个站点都使用HTTPS,因此用户不能简单地强制使用该选项。