俄羅斯黑客利用RouteX惡意軟體感染美國網件路由器實施撞庫攻擊

E安全9月14日訊 美國網路安全公司Forkbombus Labs發現，俄羅斯黑客過去幾個月一直利用新型惡意軟體「RouteX」感染美國網件（Netgear）路由器。RouteX將被感染設備變成SOCKS代理，並實施「憑證填充攻擊」（Credential Stuffing Attack，俗稱撞庫）。

黑客利用去年發布的漏洞發起撞庫攻擊

「憑證填充攻擊」（俗稱撞庫攻擊）是接管賬戶常用的手法之一，不斷自動驗證被盜用戶名和密碼的有效性，從而取得用戶賬號訪問權。

Forkbombus Labs揭露，這名黑客利用去年12月披露的CVE-2016-10176漏洞接管美國網件WNR2000路由器。

CVE-2016-10176影響了網件 WNR路由器的Web伺服器，未經身份驗證的攻擊者可秘密執行管理員級別的操作。

RouteX惡意軟體將網件路由器變成代理

Forkbombus Labs首席科學官兼研究主管Stu Gorton（斯圖·戈頓）表示，攻擊者利用該漏洞在運行舊版固件（存在安全隱患）的網件路由器上下載並運行RouteX惡意軟體。

RouteX惡意軟體主要包含兩大功能：

• 在每台被感染的設備上安裝SOCKS代理。

• 添加Linux防火牆iptable規則，防止相同的漏洞被進一步利用，同時只允許少量IP地址訪問設備，這一切很可能都在攻擊者的掌控之中。

網件路由器被劫持

這名黑客使用被劫持的網件路由器實施撞庫攻擊，威脅攻擊者從公開泄露的數據中獲取憑證，並不斷在多個在線服務上驗證用戶名和密碼組合。

攻擊者可利用網件路由器上的代理將撞庫攻擊傳播至新的IP地址，並避免被暴力破解保護系統禁用。

Gorton接受電子郵件採訪時表示，這類攻擊的大多數目標為財富500強企業，但不方便披露撞庫攻擊的目標。但他們發現這些攻擊向RouteX惡意軟體感染的受害者發送警告信。

由網件路由器組成的這個殭屍網路規模目前仍是未解之謎，主要是被感染的設備不會持續連接到命令與控制伺服器（C&C server），攻擊者只會在所需之時連接到設備。

RouteX惡意軟體背後的幕後黑手

根據RouteX惡意軟體源代碼內發現10個控制與命令域名判斷，Fokbombus Labs認為該惡意軟體與Exploit.in論壇用戶「Links」過去使用的電子郵箱存在關聯。Links惡意軟體的開發人員同名的Links惡意軟體曾於2016年10月利用這款軟體感染了優比快（Ubiquiti Networks）的設備。

Links也可作為代理系統，是RouteX的前身，但複雜性程度要低很多。而與RouteX另一個關聯之處在於，當登錄時，Links使用類似基於ASCII的啟動畫面。

Forkbombus Labs上周發布了RouteX的詳細分析報告，並在其中列出了攻擊指示器（IOC）。

研究人員建議網件WNR2000 路由器的用戶安裝最新版固件，用戶應避免在不同的網站重用密碼。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！