如何利用虛假瀏覽器更新滲透MikroTik路由器實驗

寫在前面的話

MikroTik是拉脫維亞一家從事路由器和無線ISP系統開發的企業，在過去幾個月中處理了許多影響其產品操作系統的漏洞。2018年4月，研究人員發現RouterOS的一個關鍵漏洞，攻擊一直在以驚人的速度發生，當發現一種新發現的CVE-2018-14847開發技術時，情況更糟。問題在於，儘管供應商提供了安全修復程序，但大量的MikroTik路由器仍然沒有打補丁並成為自動攻擊的犧牲品。犯罪分子迅速利用概念證明代碼在短時間內破壞數十萬台設備。

去年夏天，SpiderLabs的研究人員通過被黑客入侵的MikroTik設備發現了可能是最大的惡意Coinhive活動，現在已經演變成一個更廣泛的問題。在最新的攻擊活動中，攻擊者利用虛假的瀏覽器更新頁面來入侵路由器。當運行惡意更新時，研究人員會解包代碼到計算機中，計算機可以掃描網路中其他有漏洞的路由器並嘗試利用。

可疑的瀏覽器更新

安全研究人員@VriesHd首先發現一個嘗試用社會工程技術來入侵有漏洞的路由器的活動。運行受影響的MikroTik路由器的網路提供商會將關於瀏覽器的老版本更新重定向給終端用戶。

根據Censys的搜索，一共有11000個被入侵的MikroTik設備提供該虛假下載頁面：

該瀏覽器根系是從一個FTP伺服器下載的，如下圖所示：

有趣的是，此IP地址也被列為免費和開放的Web代理：

Payload分析

行為分析

Payload會偽裝成一個名為upd_browser的安裝器。

當我們運行它時，它會彈出一個錯誤：

但如果抓取網路流量，可以看出有很多不同的IP地址嘗試連接8291埠（8291是通過winbox應用管理MicroTik路由器的默認埠）：

Unpack

釋放的payload是一個比較大的可執行文件（7.25MB）。該小節的header和可視化如下圖：

通過查看section名，可以看出其打包了一個簡單的packer：UPX。重複部分說明提取出的內容太多了。在進行下一步檢查後，研究人員發現其將一個python DLL和其他相關文件解包到%TEMP%文件夾，然後載入這些文件。很容易猜測出exe文件其實是一個python腳本。

腳本中的entry point名為updbrowser。反編譯腳本發現惡意軟體的核心是兩個python腳本：updbrowser.py和ups.py。

腳本分析

該模塊的主要功能非常簡單：

我們可以看到，錯誤彈出窗口是硬編碼的,它不會警告任何實際錯誤，而是用作誘餌。惡意軟體通過查詢使用合法服務IP Logger製作的跟蹤器的硬編碼地址來記錄受害者的IP地址。跟蹤器採用一個像素大小的圖像形式：

之後，該地址會在定義的時間間隔內定時查詢。最重要的操作在名為「scan」 的函數中執行，該函數部署在多個並行線程中（最大線程數定義為thmax = 600）。函數生成偽隨機IP地址並嘗試在上述埠8291上連接到它們中的每一個。當連接嘗試成功時，它嘗試另一個連接，這次是在56778範圍內的隨機埠上5688.當這個失敗時，就繼續漏洞利用：

如果從user.dat文件中檢索密碼成功，它會解密憑據並使用它們來創建後門：具有隨機生成密碼的帳戶。它還設置由路由器執行的計劃任務。調度程序中設置的腳本是從硬編碼模板生成的（此處提供的已清理版本）。它的作用是操縱路由器的設置並設置載入CoinHive礦工的錯誤頁面。錯誤頁面可以放在兩個位置：「 webproxy/error.html」或「flash/webproxy/error.html」。

只要用戶嘗試查看拒絕訪問的URL，就會向用戶顯示這樣的頁面。但路由器中配置的惡意腳本是基於HTTP請求錯誤。偽造的錯誤頁面是wile欺騙原始流量，以iframe方式展示請求的頁面。所以當用戶瀏覽大多數web時並不會注意到這一變化。比如：

緩解措施

MikroTik用戶應及時對路由器打補丁升級。MikroTik下載頁面中說明了如何對RouterOS進行升級。意識到這些漏洞存在且容易被利用是很重要的，因為修補路由器不是很多人習慣做的事情。但是，在許多情況下，用戶將無法這樣做，除非他們的Internet服務提供商在上游為他們執行此操作。通過這個社工工程手段，我們看到了犯罪分子如何試圖感染普通用戶並利用他們的計算機掃描互聯網以尋找易受攻擊的路由器。這種技術很聰明，因為這樣的努力需要時間和資源才能有效。惡意軟體業務客戶和高級消費者用戶受到保護，免受此威脅，因為我們的反惡意軟體引擎會實時檢測並阻止此虛假瀏覽器更新：

*

參考來源：

，周大濤編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！