利用虛假瀏覽器更新來入侵MikroTik路由器的活動分析

MikroTik是拉脫維亞一家從事路由器和無線ISP系統開發的企業，在過去幾個月中處理了許多影響其產品操作系統的漏洞。2018年4月，研究人員發現RouterOS的一個關鍵漏洞，然後攻擊就開始了，而新發現的CVE-2018-14847漏洞利用使這種情況變得更加嚴重。

另一個問題是雖然廠商提供了安全補丁，但仍有大量的MikroTik路由器沒有進行安全更新，易受到自動化攻擊的威脅。網路犯罪分子正利用POC代碼來入侵成千上萬的設備。去年研究人員發現最大的惡意Coinhive活動就是通過被入侵的MikroTik設備實現的。

在最新的攻擊活動中，攻擊者利用虛假的瀏覽器更新頁面來入侵路由器。當運行惡意更新時，研究人員會解包代碼到計算機中，計算機可以掃描網路中其他有漏洞的路由器並嘗試利用。

惡意瀏覽器更新

安全研究人員@VriesHd首先發現一個嘗試用社會工程技術來入侵有漏洞的路由器的活動。運行受影響的MikroTik路由器的網路提供商會將關於瀏覽器的老版本更新重定向給終端用戶。

根據Censys的數據，一共有11000個被入侵的MikroTik設備提供該虛假下載頁面：

該瀏覽器根系是從一個FTP伺服器下載的，如下圖所示：

有趣的是IP地址是一個免費、開放的web代碼列表中。攻擊者常用代理來繞過特定國家的限制，或作為嚴重隱藏原始IP地址的方式：

Payload分析

行為分析

Payload會偽裝成一個名為upd_browser的安裝器。

當應用時，會有一個錯誤彈窗：

但如果抓取網路流量，可以看出有很多不同的IP地址嘗試連接8291埠（8291是通過winbox應用管理MicroTik路由器的默認埠）：

Unpack

釋放的payload是一個比較大的可執行文件（7.25MB）。該小節的header和可視化如下：

通過查看section名，可以看出其打包了一個簡單的packer：UPX。重複部分說明提取出的內容太多了。在進行下一步檢查後，研究人員發現其將一個python DLL和其他相關文件解包到%TEMP%文件夾，然後載入這些文件。很容易猜測出exe文件其實是一個python腳本。

腳本中的entry point名為upd_browser。反編譯腳本發現惡意軟體的核心是兩個python腳本：upd_browser.py和ups.py。

腳本

模塊的主函數非常簡單，如下圖所示：

從中可以看出，錯誤彈窗是硬編碼的。並不是真實的錯誤代碼，而是作為誘餌。

之後，惡意軟體會用合法服務IP Logger來查詢追蹤器的硬編碼地址來記錄受害者的IP地址。追蹤器的1×1像素的圖片：

之後，該地址會在定義的時間間隔內定時查詢。

函數中最重要的功能名為scan，許多的並行線程都應用了該功能。函數scan會生成偽隨機的IP地址並嘗試通過8291埠連接。如果連接成功，會嘗試通過56778到56887之間的一個隨機埠連接。如果失敗，就繼續漏洞利用：

函數poc是指通過已知的漏洞來感染路由器。開始時嘗試利用路徑遍歷漏洞CVE-2018-14847來獲取憑證：

user.dat文件的格式為M2，所以腳本是與內置的語義分析器一起的：

如果成功從user.dat文件中提取出密碼，就解碼憑證並用來創建後門：一個隨機生成密碼的賬戶。還會為路由器設定一個定時任務。

設置定時任務的腳本是用硬編碼的模板生成的。其角色是操作路由器的設置，並設置一個載入CoinHive挖礦機的錯誤頁面。錯誤頁面會釋放在 webproxy/error.html和 flash/webproxy/error.html。

當用戶嘗試查看被拒絕訪問的URL時間，該頁面會展示給用戶。但路由器中配置的惡意腳本是基於HTTP請求錯誤。偽造的錯誤頁面是wile欺騙原始流量，以iframe方式展示請求的頁面。所以當用戶瀏覽大多數web時並不會注意到這一變化。比如：

從中可以看到嵌入的CoinHive挖礦機，用戶機器會被用於惡意挖礦。

緩解措施

MikroTik用戶應及時對路由器打補丁升級。MikroTik下載頁面中解釋了如何對RouterOS進行升級。很多用戶沒並沒有意識到漏洞的存在以及漏洞非常容易利用。在最新的社會工程方案中，研究人員發現犯罪分子嘗試感染普通用戶，並通過受害者的用戶來掃描網路中有漏洞的路由器。這些技術手段非常高明，因為這種方式需要的時間和資源都很少，而攻擊效率非常高。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！