如何利用虛假瀏覽器更新滲透MikroTik路由器實(shí)驗(yàn)

本篇文章給大家分享的是有關(guān)如何利用虛假瀏覽器更新滲透MikroTik路由器實(shí)驗(yàn)，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

SpiderLabs的研究人員通過被黑客入侵的MikroTik設(shè)備發(fā)現(xiàn)了可能是最大的惡意Coinhive活動(dòng)，現(xiàn)在已經(jīng)演變成一個(gè)更廣泛的問題。在最新的攻擊活動(dòng)中，攻擊者利用虛假的瀏覽器更新頁面來入侵路由器。當(dāng)運(yùn)行惡意更新時(shí)，研究人員會(huì)解包代碼到計(jì)算機(jī)中，計(jì)算機(jī)可以掃描網(wǎng)絡(luò)中其他有漏洞的路由器并嘗試?yán)谩?br/>

可疑的瀏覽器更新

安全研究人員@VriesHd首先發(fā)現(xiàn)一個(gè)嘗試用社會(huì)工程技術(shù)來入侵有漏洞的路由器的活動(dòng)。運(yùn)行受影響的MikroTik路由器的網(wǎng)絡(luò)提供商會(huì)將關(guān)于瀏覽器的老版本更新重定向給終端用戶。

根據(jù)Censys的搜索，一共有11000個(gè)被入侵的MikroTik設(shè)備提供該虛假下載頁面：

該瀏覽器根系是從一個(gè)FTP服務(wù)器下載的，如下圖所示：

有趣的是，此IP地址也被列為免費(fèi)和開放的Web代理：

Payload分析

行為分析

Payload會(huì)偽裝成一個(gè)名為upd_browser的安裝器。

當(dāng)我們運(yùn)行它時(shí)，它會(huì)彈出一個(gè)錯(cuò)誤：

但如果抓取網(wǎng)絡(luò)流量，可以看出有很多不同的IP地址嘗試連接8291端口（8291是通過winbox應(yīng)用管理MicroTik路由器的默認(rèn)端口）：

Unpack

釋放的payload是一個(gè)比較大的可執(zhí)行文件（7.25MB）。該小節(jié)的header和可視化如下圖：

通過查看section名，可以看出其打包了一個(gè)簡單的packer：UPX。重復(fù)部分說明提取出的內(nèi)容太多了。在進(jìn)行下一步檢查后，研究人員發(fā)現(xiàn)其將一個(gè)python DLL和其他相關(guān)文件解包到%TEMP%文件夾，然后加載這些文件。很容易猜測出exe文件其實(shí)是一個(gè)python腳本。

腳本中的entry point名為upd_browser。反編譯腳本發(fā)現(xiàn)惡意軟件的核心是兩個(gè)python腳本：upd_browser.py和ups.py。

腳本分析

該模塊的主要功能非常簡單：

我們可以看到，錯(cuò)誤彈出窗口是硬編碼的,它不會(huì)警告任何實(shí)際錯(cuò)誤，而是用作誘餌。惡意軟件通過查詢使用合法服務(wù)IP Logger制作的跟蹤器的硬編碼地址來記錄受害者的IP地址。跟蹤器采用一個(gè)像素大小的圖像形式：

之后，該地址會(huì)在定義的時(shí)間間隔內(nèi)定時(shí)查詢。最重要的操作在名為“scan” 的函數(shù)中執(zhí)行，該函數(shù)部署在多個(gè)并行線程中（最大線程數(shù)定義為thmax = 600）。函數(shù)生成偽隨機(jī)IP地址并嘗試在上述端口8291上連接到它們中的每一個(gè)。當(dāng)連接嘗試成功時(shí)，它嘗試另一個(gè)連接，這次是在56778范圍內(nèi)的隨機(jī)端口上5688.當(dāng)這個(gè)失敗時(shí)，就繼續(xù)漏洞利用：    函數(shù)poc是指通過已知的漏洞來感染路由器。開始時(shí)嘗試?yán)寐窂奖闅v漏洞CVE-2018-14847來獲取憑證：user.dat文件應(yīng)該是M2格式，因此腳本附帶一個(gè)內(nèi)置的解析器（函數(shù)load_file）：

如果從user.dat文件中檢索密碼成功，它會(huì)解密憑據(jù)并使用它們來創(chuàng)建后門：具有隨機(jī)生成密碼的帳戶。它還設(shè)置由路由器執(zhí)行的計(jì)劃任務(wù)。調(diào)度程序中設(shè)置的腳本是從硬編碼模板生成的（此處提供的已清理版本）。它的作用是操縱路由器的設(shè)置并設(shè)置加載CoinHive礦工的錯(cuò)誤頁面。錯(cuò)誤頁面可以放在兩個(gè)位置：“ webproxy/error.html”或“flash/webproxy/error.html”。

只要用戶嘗試查看拒絕訪問的URL，就會(huì)向用戶顯示這樣的頁面。但路由器中配置的惡意腳本是基于HTTP請(qǐng)求錯(cuò)誤。偽造的錯(cuò)誤頁面是wile欺騙原始流量，以iframe方式展示請(qǐng)求的頁面。所以當(dāng)用戶瀏覽大多數(shù)web時(shí)并不會(huì)注意到這一變化。比如：

緩解措施

MikroTik用戶應(yīng)及時(shí)對(duì)路由器打補(bǔ)丁升級(jí)。MikroTik下載頁面中說明了如何對(duì)RouterOS進(jìn)行升級(jí)。意識(shí)到這些漏洞存在且容易被利用是很重要的，因?yàn)樾扪a(bǔ)路由器不是很多人習(xí)慣做的事情。但是，在許多情況下，用戶將無法這樣做，除非他們的Internet服務(wù)提供商在上游為他們執(zhí)行此操作。通過這個(gè)社工工程手段，我們看到了犯罪分子如何試圖感染普通用戶并利用他們的計(jì)算機(jī)掃描互聯(lián)網(wǎng)以尋找易受攻擊的路由器。這種技術(shù)很聰明，因?yàn)檫@樣的努力需要時(shí)間和資源才能有效。惡意軟件業(yè)務(wù)客戶和高級(jí)消費(fèi)者用戶受到保護(hù)，免受此威脅，因?yàn)槲覀兊姆磹阂廛浖鏁?huì)實(shí)時(shí)檢測并阻止此虛假瀏覽器更新：

以上就是如何利用虛假瀏覽器更新滲透MikroTik路由器實(shí)驗(yàn)，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。