当您的计算机感染了加密锁,如果您的密码被特洛伊木马程序盗用,诈骗者劫持的邮件,如果您的信用卡信息被网络钓鱼删除并取走了钱,这一切都是可怕的,但至少可以清楚地了解发生了什么以及如何处理。 防病毒软件可以清除垃圾,从备份中还原数据(如果确实如此),然后重新发行卡。 如果您静静地观看了很长时间却没有引起注意,那就更糟了。
通常,这种威胁与公众,大型公司有关-通常,在您拥有真正有价值的信息的情况下。 或不仅如此:中级网络犯罪分子似乎也开始尝试进行网络间谍活动。 来自中国360 Netlab团队的研究人员能够识别出至少7500个被黑客入侵的Mikrotik路由器,并将通过它们的流量发送到网络犯罪服务器(
新闻 )。 考虑到这不是有关攻击路由器(尤其是Mikrotik)的唯一新闻,今天我们将尝试弄清发生了什么以及如何处理。
360 Netlab的专家进行了整个
研究 。 Mikrotik路由器可以通过打开的TCP端口8291可靠地识别-与远程WinBox计算机上的路由器控制实用程序绑定在一起。 通过设备响应特定于此软件的命令的方式,您可以准确地确定它是路由器,而不仅仅是出于某些原因而打开同一端口的某些设备。 总共发现了120万个具有开放端口的Mikrotik路由器,考虑到该端口一定可以关闭以供外部访问,因此数量很多。
在120万个路由器中,有37万个或略高于30%的路由器具有漏洞CVE-2018-14847。 此漏洞已于今年4月
关闭 。 在这里,您可以阅读有关独立研究人员如何尝试确定修补程序的故事。 简而言之,该漏洞允许未经特别授权就可以从路由器远程读取任何文件,包括受保护的访问密码(此后此密码得到更好的保护)。 GitHub上的概念证明描述
指出 ,具有RouterOS固件版本6.29–6.42的路由器易受攻击,也就是说,该问题已经存在三年了。
地球上易受攻击的设备分布图看起来像这样。 俄罗斯排名第二,仅次于巴西,减少了4万台路由器。 攻击者如何利用此漏洞? 您可以使用路由器本身生成的错误消息将用户流量重定向到该页面,并在此页面上实现CoinHive货币挖掘器。 这种货币化方法是已知的(请参阅摘要
29 ),据报道,八月份该攻击主要影响了巴西,二十万路由器受到了攻击。 诚然,来自中国的研究人员澄清说,该计划实际上是马马虎虎。 事实是,为了使矿工能够正常工作,它必须有权访问外部网络,而该外部网络受向用户显示错误页面的特定设置所阻止。
在任何情况下,由于Internet会在用户中消失(我们正在谈论为大型组织和小型提供商设计的路由器),因此将迅速检测到这种攻击。 您可以更优雅地在路由器上使用代理服务器:例如,将进一步扫描网络并将攻击其他路由器的任务转移到受感染的设备。 根据中国专家的说法,研究人员总共发现了23.9万个路由器,在它们上激活了Socks4代理,这显然是出于恶意的目的,“
没有尊重 ”。 当然,此选项不是唯一的选项,还有用于代理服务器的路由器大军,只能从某个(显然是由网络犯罪分子控制的)子网访问该选项,这一点并不确切。
但是,最有趣的研究发现是这一点。 Mikrotik RouterOS允许您将路由器处理的网络数据包重定向到指定地址。 此流量输出的设置可能类似于上面的屏幕截图。 因此,来自360 Netlab的研究人员确定了7.5千台路由器,这些路由器不知道由谁来提供通过它们的所有流量。 好的,几乎所有:通常分别监视端口20、21、25、110和143上的通信,这些是FTP协议以及邮件SMTP和POP3 / IMAP。 同样,在某些情况下,与SNMP协议关联的端口161和162被监视,但不清楚为什么使用它。 端口列表与受感染路由器上最常见的设置有关。 还监视了某些端口的其他端口,例如80(即所有未加密的Web流量)和8080。
在窃取流量的路由器列表中,俄罗斯以1,628台被感染的路由器排名第一,伊朗和巴西居第二和第三。 为何重定向流量,下一步将如何处理-人们只能猜测。 我想,拦截的目的既是寻找要被包含在某人的僵尸网络中的新受害者,又是科学研究。 现在,许多人担心Internet上的数据服务提供商会收集多少关于我们的信息,以便“更好地”宣传我们的产品。 犯罪行为会收集有关我们的信息,这样最好以后再攻击我们,这一事实更加危险。
怎么办 很明显,现在需要做什么:
更新路由器 。 漏洞已经六个月了。 然后,出于从外部关闭访问的目的而分析配置将非常好-在所有情况下都不需要这样做。 一般情况下该做什么,谁应该受责? 此漏洞的概念证明的作者用“不要在企业中使用mikrotik”之类的词来
总结他的小型研究。 但这真是个死胡同:“啊,恐怖,我们发现了一个可怕的漏洞,再也买不到。” 好像与其他路由器一样,情况更好。
据报道, 5月份
,一个强大的僵尸网络
是通过对500,000个设备(其中找到Mikrotik设备以及LinkSys,Netgear和TP-Link)的VPNFilter攻击进行组装的。
在俄罗斯,Mikrotik路由器通常用于中小型企业,它们由入职的IT专家或某些所有者雇员进行配置,然后通常将它们遗忘:一件事情或另一件事都可以-可以。 旧固件是设备稳定运行的间接指标。 但是事实证明,无论您的路由器是什么,都需要对其进行更新,并且必须使用最安全的设置进行配置,如果不需要,则可以使用断开的外部管理接口。 最有可能在外部专家的参与下。 安全从来都不是免费的。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。 顺便说一句,这是Habré成立七年来在Lab博客上的第300个帖子。 我们都以此向您和我们表示祝贺。