超过7500台MikroTik路由器被黑客入侵 用来挖矿或启用Socks4代理

  • A+
所属分类:网络安全新闻

超过7500台MikroTik路由器被黑客入侵 用来挖矿或启用Socks4代理

9月初,专家们发现了一个大规模的加密抢夺活动,该活动针对MikroTik路由器在网络流量中注入Coinhive加密货币挖掘脚本。

该活动始于巴西,但它迅速扩展到其他国家,面向全球的MikroTik路由器,超过200,000台设备遭到入侵。

现在,来自安全公司奇虎360 Netlab的专家发现了超过7,500台MikroTik路由器,这些路由器遭到入侵,恶意启用Socks4代理,允许攻击者劫持被黑客设备的流量。

“更重要的是,我们观察到大量受害者在一台恶意行为者的设备上启用了Socks4代理。” 奇虎360 Netlab发布的分析报告。

“更有趣的是,我们还发现超过7,500多名受害者正在被主动窃听,他们的流量被转发到由未知攻击者控制的IP。”

根据研究人员的说法,自7月中旬以来,黑客正在利用MikroTik路由器中的CVE-2018-14847漏洞来进行攻击。

作为CIA Vault7 转储的一部分,维基解密首次揭露了CVE-2018-14847漏洞,该问题的利用代码包含在黑客工具Chimay Red中。

Chimay Red黑客工具利用了2个漏洞,Winbox Any Directory File Read(CVE-2018-14847)和Webfig远程执行代码漏洞。

与Winbox和Webfig关联的通信端口是TCP / 8291,TCP / 80和TCP / 8080。

研究人员在互联网上搜索了易受攻击的设备,他们发现超过5,000K的设备具有开放的TCP / 8291端口,其中1,200k是Mikrotik设备,其中370k(30.83%)是易受攻击的CVE-2018-14847。

总而言之,120万台MikroTik路由器中超过370,000个仍然容易受到CVE-2018-14847漏洞利用的影响,因为业主尚未对其进行更新。

大多数易受攻击的设备位于巴西,俄罗斯和印度尼西亚。

Netlab专家检测到恶意软件利用Mikrotik路由器中的CVE-2018-14847漏洞执行各种恶意活动,包括流量劫持和CoinHive挖掘代码注入。

专家分享的分析包括攻击情景。

CoinHive采矿代码注入

一旦启用了Mikrotik RouterOS HTTP代理,攻击者就会将HTTP代理请求劫持到本地HTTP 403错误页面,该页面为Coinhive的Web挖掘代码注入了一个链接。无论如何,以这种方式使用的挖掘代码无法工作,因为所有外部Web资源(包括coinhive.com资源)都被攻击者自己设置的代理ACL阻止。

恶意启用Sock4代理

攻击者在受害者设备上启用了Socks4端口或TCP / 4153,这样攻击者即使在重新启动(IP更改)后也会通过定期向攻击者的URL报告其最新IP地址来获得路由器上的持久性。

“共有239K IP被确认为恶意启用了Socks4代理。Socks4端口主要是TCP / 4153,非常有趣的是,Socks4代理配置只允许从一个网络块95.154.216.128/25进行访问。“陈述报告

“为了让攻击者即使在设备重启( ip 更改)后也能获得控制权,设备被配置为运行计划任务,通过访问特定攻击者的URL定期报告其最新IP地址。”

专家指出,所有239,000个IP地址仅允许从95.154.216.128/25访问,实际上主要来自95.154.216.167地址。

窃听

MikroTik RouterOS设备用于捕获路由器上的数据包并将其转发到指定的Stream服务器,攻击者可能会滥用此功能将流量转发到由它们控制的IP地址。专家注意到,大量设备的流量都流向37.1.207.114 IP。

不要浪费时间,更新MikroTik设备,还要检查HTTP代理,Socks4代理和网络流量捕获功能是否被攻击者滥用。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!