超过7500台MikroTik路由器被黑客入侵 用来挖矿或启用Socks4代理

9月初，专家们发现了一个大规模的加密抢夺活动，该活动针对MikroTik路由器在网络流量中注入Coinhive加密货币挖掘脚本。

该活动始于巴西，但它迅速扩展到其他国家，面向全球的MikroTik路由器，超过200,000台设备遭到入侵。

现在，来自安全公司奇虎360 Netlab的专家发现了超过7,500台MikroTik路由器，这些路由器遭到入侵，恶意启用Socks4代理，允许攻击者劫持被黑客设备的流量。

“更重要的是，我们观察到大量受害者在一台恶意行为者的设备上启用了Socks4代理。” 奇虎360 Netlab发布的分析报告。

“更有趣的是，我们还发现超过7,500多名受害者正在被主动窃听，他们的流量被转发到由未知攻击者控制的IP。”

根据研究人员的说法，自7月中旬以来，黑客正在利用MikroTik路由器中的CVE-2018-14847漏洞来进行攻击。

作为CIA Vault7 转储的一部分，维基解密首次揭露了CVE-2018-14847漏洞，该问题的利用代码包含在黑客工具Chimay Red中。

Chimay Red黑客工具利用了2个漏洞，Winbox Any Directory File Read（CVE-2018-14847）和Webfig远程执行代码漏洞。

与Winbox和Webfig关联的通信端口是TCP / 8291，TCP / 80和TCP / 8080。

研究人员在互联网上搜索了易受攻击的设备，他们发现超过5,000K的设备具有开放的TCP / 8291端口，其中1,200k是Mikrotik设备，其中370k（30.83％）是易受攻击的CVE-2018-14847。

总而言之，120万台MikroTik路由器中超过370,000个仍然容易受到CVE-2018-14847漏洞利用的影响，因为业主尚未对其进行更新。

大多数易受攻击的设备位于巴西，俄罗斯和印度尼西亚。

Netlab专家检测到恶意软件利用Mikrotik路由器中的CVE-2018-14847漏洞执行各种恶意活动，包括流量劫持和CoinHive挖掘代码注入。

专家分享的分析包括攻击情景。

CoinHive采矿代码注入

一旦启用了Mikrotik RouterOS HTTP代理，攻击者就会将HTTP代理请求劫持到本地HTTP 403错误页面，该页面为Coinhive的Web挖掘代码注入了一个链接。无论如何，以这种方式使用的挖掘代码无法工作，因为所有外部Web资源（包括coinhive.com资源）都被攻击者自己设置的代理ACL阻止。

恶意启用Sock4代理

攻击者在受害者设备上启用了Socks4端口或TCP / 4153，这样攻击者即使在重新启动（IP更改）后也会通过定期向攻击者的URL报告其最新IP地址来获得路由器上的持久性。

“共有239K IP被确认为恶意启用了Socks4代理。Socks4端口主要是TCP / 4153，非常有趣的是，Socks4代理配置只允许从一个网络块95.154.216.128/25进行访问。“陈述报告

“为了让攻击者即使在设备重启（ ip 更改）后也能获得控制权，设备被配置为运行计划任务，通过访问特定攻击者的URL定期报告其最新IP地址。”

专家指出，所有239,000个IP地址仅允许从95.154.216.128/25访问，实际上主要来自95.154.216.167地址。

窃听

MikroTik RouterOS设备用于捕获路由器上的数据包并将其转发到指定的Stream服务器，攻击者可能会滥用此功能将流量转发到由它们控制的IP地址。专家注意到，大量设备的流量都流向37.1.207.114 IP。

不要浪费时间，更新MikroTik设备，还要检查HTTP代理，Socks4代理和网络流量捕获功能是否被攻击者滥用。