對ISP級路由器的大型加密攻擊蔓延全球

「用指尖改變世界」

近日大規模的黑客攻擊活動使超過20萬的MikroTik路由器利用漏洞在網站中嵌入Coinhive腳本。根據Trustwave的Secure Web Gateway（SWG）團隊的說法，感染活動主要針對巴西，但感染對象實際在全球範圍內增長。「這是一個警告信息，提醒所有擁有MikroTik設備的人儘快修補漏洞，」Trustwave研究員Simon Kenin 表示。

MikroTik路由器被大型企業和互聯網服務提供商使用，每天為成千上萬的用戶提供網頁服務，這意味著每次攻擊都會為攻擊者帶來巨大收益。團隊成員Kenin認為，「攻擊者很『明智』，他們不會感染訪客很少的小網站，也沒有找到在最終用戶計算機上運行惡意軟體的複雜方法，而是直接找到源頭：運營商級路由器設備。雖然加密幣是這一攻擊浪潮的主要目標，但攻擊腳本具有持久性和靈活性，可以更改和添加新功能，從而加劇威脅。」

攻擊的「成果」表明人們忽視了補丁的重要性。此次攻擊活動利用了4月23日MikroTik修補的路由器中已知的漏洞，MalwareHunter在推特上展示了攻擊行為所利用的漏洞，它針對Winbox，並允許攻擊者獲得對任何易受攻擊的MikroTik路由器的未經身份驗證的遠程管理訪問。

「初步調查表明，攻擊者不是在路由器本身上運行惡意可執行文件，而是在首次發現漏洞時利用了漏洞，攻擊者使用路由器的設備功能將CoinHive腳本注入用戶的每個網頁拜訪。」

此外，研究人員發現許多被入侵的頁面實際上是webproxy的錯誤頁面，這意味著攻擊者創建了一個帶有CoinHive腳本的自定義錯誤頁面。Kenin進一步解釋:「如果用戶在瀏覽網頁時收到任何類型的錯誤頁面，他們就會得到一個定製的錯誤頁面，這個頁面會為攻擊者挖掘隱藏的錯誤。後端Apache伺服器也連接到路由器，在此過程中出現錯誤就會顯示給我。」這意味著，這也會影響那些沒有直接連接到受感染路由器網路的用戶，也會影響訪問受感染路由器背後網站的用戶。換句話說，攻擊是雙向的。

Trustwave的研究表明，攻擊者已經建立了攻擊機制，為現有的感染提供了未來的潛力。

同時，在路由器被感染時執行的命令中，為了在需要時及時更新，有一個創建計劃任務。例如，他/她已經安排了一個連接到另一個主機的任務並獲取一個新的「error.html」文件 - 可能是因為站點密鑰被阻止而必須使用另一個替換。

攻擊者還安排了一個任務，下載並執行為名為「u113.rsc」的MikroTik路由器編寫的腳本,還創建了名為「ftu」的後門帳戶。「當我們檢查時，腳本只是用作佔位符，但它顯然是攻擊者向所有受到攻擊的設備發送附加命令的方式，」Kenin解釋他注意到腳本在他調查期間正在更新。這些更新添加了更多清理命令，以減少佔用空間並降低被檢測的風險。

「MikroTik用戶需要確保他們的RouterOS與最新的安全補丁保持同步。」 Bad Packets報告的安全研究員Troy Mursch通過電子郵件說道。「否則，正如我們當前所看到的，他們可能會因為注入加密劫持惡意軟體而受到攻擊。犯罪分子很容易大規模地危害用戶。「

幸運的是，被攻擊的運營商級路由器肯定是令人擔憂的，但最終用戶仍有選擇權。解密可以在瀏覽器中停止（MinerBlock擴展）並在本地防火牆（CoinBlockerLists）上被阻止。關於將CoinHive注入HTTP流量，如果請求是通過HTTPS進行的，這通常是可以避免的。這取決於被訪問的網站。並非每個站點都使用HTTPS，因此用戶不能簡單地強制使用該選項。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！