天创培训:您身边的信息安全培训专家!
开班计划
2018年12月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2018年12月24日-29日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

对ISP级路由器的大型加密攻击蔓延全球

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2018-08-07  关键词:路由器,加密攻击

对ISP级路由器的大型加密攻击蔓延全球

近日大规模的黑客攻击活动使超过20万的MikroTik路由器利用漏洞在网站中嵌入Coinhive脚本。根据Trustwave的Secure Web Gateway(SWG)团队的说法,感染活动主要针对巴西,但感染对象实际在全球范围内增长。“这是一个警告信息,提醒所有拥有MikroTik设备的人尽快修补漏洞,”Trustwave研究员Simon Kenin 表示。

MikroTik路由器被大型企业和互联网服务提供商使用,每天为成千上万的用户提供网页服务,这意味着每次攻击都会为攻击者带来巨大收益。团队成员Kenin认为,“攻击者很‘明智’,他们不会感染访客很少的小网站,也没有找到在最终用户计算机上运行恶意软件的复杂方法,而是直接找到源头:运营商级路由器设备。虽然加密币是这一攻击浪潮的主要目标,但攻击脚本具有持久性和灵活性,可以更改和添加新功能,从而加剧威胁。”

攻击的“成果”表明人们忽视了补丁的重要性。此次攻击活动利用了4月23日MikroTik修补的路由器中已知的漏洞,MalwareHunter在推特上展示了攻击行为所利用的漏洞,它针对Winbox,并允许攻击者获得对任何易受攻击的MikroTik路由器的未经身份验证的远程管理访问。

“初步调查表明,攻击者不是在路由器本身上运行恶意可执行文件,而是在首次发现漏洞时利用了漏洞,攻击者使用路由器的设备功能将CoinHive脚本注入用户的每个网页拜访。”

此外,研究人员发现许多被入侵的页面实际上是webproxy的错误页面,这意味着攻击者创建了一个带有CoinHive脚本的自定义错误页面。Kenin进一步解释:“如果用户在浏览网页时收到任何类型的错误页面,他们就会得到一个定制的错误页面,这个页面会为攻击者挖掘隐藏的错误。后端Apache服务器也连接到路由器,在此过程中出现错误就会显示给我。”这意味着,这也会影响那些没有直接连接到受感染路由器网络的用户,也会影响访问受感染路由器背后网站的用户。换句话说,攻击是双向的。

Trustwave的研究表明,攻击者已经建立了攻击机制,为现有的感染提供了未来的潜力。

同时,在路由器被感染时执行的命令中,为了在需要时及时更新,有一个创建计划任务。例如,他/她已经安排了一个连接到另一个主机的任务并获取一个新的“error.html”文件 - 可能是因为站点密钥被阻止而必须使用另一个替换。

攻击者还安排了一个任务,下载并执行为名为“u113.rsc”的MikroTik路由器编写的脚本,还创建了名为“ftu”的后门帐户。“当我们检查时,脚本只是用作占位符,但它显然是攻击者向所有受到攻击的设备发送附加命令的方式,”Kenin解释他注意到脚本在他调查期间正在更新。这些更新添加了更多清理命令,以减少占用空间并降低被检测的风险。

“MikroTik用户需要确保他们的RouterOS与最新的安全补丁保持同步。” Bad Packets报告的安全研究员Troy Mursch通过电子邮件说道。“否则,正如我们当前所看到的,他们可能会因为注入加密劫持恶意软件而受到攻击。犯罪分子很容易大规模地危害用户。“

幸运的是,被攻击的运营商级路由器肯定是令人担忧的,但最终用户仍有选择权。解密可以在浏览器中停止(MinerBlock扩展)并在本地防火墙(CoinBlockerLists)上被阻止。关于将CoinHive注入HTTP流量,如果请求是通过HTTPS进行的,这通常是可以避免的。这取决于被访问的网站。并非每个站点都使用HTTPS,因此用户不能简单地强制使用该选项。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000