您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關(guān)如何利用虛假瀏覽器更新滲透MikroTik路由器實(shí)驗(yàn),小編覺得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
安全研究人員@VriesHd首先發(fā)現(xiàn)一個(gè)嘗試用社會(huì)工程技術(shù)來入侵有漏洞的路由器的活動(dòng)。運(yùn)行受影響的MikroTik路由器的網(wǎng)絡(luò)提供商會(huì)將關(guān)于瀏覽器的老版本更新重定向給終端用戶。
根據(jù)Censys的搜索,一共有11000個(gè)被入侵的MikroTik設(shè)備提供該虛假下載頁面:
該瀏覽器根系是從一個(gè)FTP服務(wù)器下載的,如下圖所示:
有趣的是,此IP地址也被列為免費(fèi)和開放的Web代理:
Payload會(huì)偽裝成一個(gè)名為upd_browser的安裝器。
當(dāng)我們運(yùn)行它時(shí),它會(huì)彈出一個(gè)錯(cuò)誤:
但如果抓取網(wǎng)絡(luò)流量,可以看出有很多不同的IP地址嘗試連接8291端口(8291是通過winbox應(yīng)用管理MicroTik路由器的默認(rèn)端口):
釋放的payload是一個(gè)比較大的可執(zhí)行文件(7.25MB)。該小節(jié)的header和可視化如下圖:
通過查看section名,可以看出其打包了一個(gè)簡單的packer:UPX。重復(fù)部分說明提取出的內(nèi)容太多了。在進(jìn)行下一步檢查后,研究人員發(fā)現(xiàn)其將一個(gè)python DLL和其他相關(guān)文件解包到%TEMP%文件夾,然后加載這些文件。很容易猜測出exe文件其實(shí)是一個(gè)python腳本。
腳本中的entry point名為upd_browser。反編譯腳本發(fā)現(xiàn)惡意軟件的核心是兩個(gè)python腳本:upd_browser.py和ups.py。
該模塊的主要功能非常簡單:
我們可以看到,錯(cuò)誤彈出窗口是硬編碼的,它不會(huì)警告任何實(shí)際錯(cuò)誤,而是用作誘餌。惡意軟件通過查詢使用合法服務(wù)IP Logger制作的跟蹤器的硬編碼地址來記錄受害者的IP地址。跟蹤器采用一個(gè)像素大小的圖像形式:
之后,該地址會(huì)在定義的時(shí)間間隔內(nèi)定時(shí)查詢。最重要的操作在名為“scan” 的函數(shù)中執(zhí)行,該函數(shù)部署在多個(gè)并行線程中(最大線程數(shù)定義為thmax = 600)。函數(shù)生成偽隨機(jī)IP地址并嘗試在上述端口8291上連接到它們中的每一個(gè)。當(dāng)連接嘗試成功時(shí),它嘗試另一個(gè)連接,這次是在56778范圍內(nèi)的隨機(jī)端口上5688.當(dāng)這個(gè)失敗時(shí),就繼續(xù)漏洞利用: 函數(shù)poc是指通過已知的漏洞來感染路由器。開始時(shí)嘗試?yán)寐窂奖闅v漏洞CVE-2018-14847來獲取憑證:user.dat文件應(yīng)該是M2格式,因此腳本附帶一個(gè)內(nèi)置的解析器(函數(shù)load_file):
如果從user.dat文件中檢索密碼成功,它會(huì)解密憑據(jù)并使用它們來創(chuàng)建后門:具有隨機(jī)生成密碼的帳戶。它還設(shè)置由路由器執(zhí)行的計(jì)劃任務(wù)。調(diào)度程序中設(shè)置的腳本是從硬編碼模板生成的(此處提供的已清理版本)。它的作用是操縱路由器的設(shè)置并設(shè)置加載CoinHive礦工的錯(cuò)誤頁面。錯(cuò)誤頁面可以放在兩個(gè)位置:“ webproxy/error.html”
或“flash/webproxy/error.html”
。
只要用戶嘗試查看拒絕訪問的URL,就會(huì)向用戶顯示這樣的頁面。但路由器中配置的惡意腳本是基于HTTP請(qǐng)求錯(cuò)誤。偽造的錯(cuò)誤頁面是wile欺騙原始流量,以iframe方式展示請(qǐng)求的頁面。所以當(dāng)用戶瀏覽大多數(shù)web時(shí)并不會(huì)注意到這一變化。比如:
MikroTik用戶應(yīng)及時(shí)對(duì)路由器打補(bǔ)丁升級(jí)。MikroTik下載頁面中說明了如何對(duì)RouterOS進(jìn)行升級(jí)。意識(shí)到這些漏洞存在且容易被利用是很重要的,因?yàn)樾扪a(bǔ)路由器不是很多人習(xí)慣做的事情。但是,在許多情況下,用戶將無法這樣做,除非他們的Internet服務(wù)提供商在上游為他們執(zhí)行此操作。通過這個(gè)社工工程手段,我們看到了犯罪分子如何試圖感染普通用戶并利用他們的計(jì)算機(jī)掃描互聯(lián)網(wǎng)以尋找易受攻擊的路由器。這種技術(shù)很聰明,因?yàn)檫@樣的努力需要時(shí)間和資源才能有效。惡意軟件業(yè)務(wù)客戶和高級(jí)消費(fèi)者用戶受到保護(hù),免受此威脅,因?yàn)槲覀兊姆磹阂廛浖鏁?huì)實(shí)時(shí)檢測并阻止此虛假瀏覽器更新:
以上就是如何利用虛假瀏覽器更新滲透MikroTik路由器實(shí)驗(yàn),小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘9ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。