俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击
E安全9月14日讯 美国网络安全公司Forkbombus
Labs发现,俄罗斯黑客过去几个月一直利用新型恶意软件“RouteX”感染美国网件(Netgear)路由器。RouteX将被感染设备变成SOCKS代理,并实施“凭证填充攻击”(Credential
Stuffing Attack,俗称撞库)。
黑客利用去年发布的漏洞发起撞库攻击
“凭证填充攻击”(俗称撞库攻击)是接管账户常用的手法之一,不断自动验证被盗用户名和密码的有效性,从而取得用户账号访问权。
Forkbombus Labs揭露,这名黑客利用去年12月披露的CVE-2016-10176漏洞接管美国网件WNR2000路由器。
CVE-2016-10176影响了网件 WNR路由器的Web服务器,未经身份验证的攻击者可秘密执行管理员级别的操作。
RouteX恶意软件将网件路由器变成代理
Forkbombus Labs首席科学官兼研究主管Stu Gorton(斯图·戈顿)表示,攻击者利用该漏洞在运行旧版固件(存在安全隐患)的网件路由器上下载并运行RouteX恶意软件。
RouteX恶意软件主要包含两大功能:
在每台被感染的设备上安装SOCKS代理。
添加Linux防火墙iptable规则,防止相同的漏洞被进一步利用,同时只允许少量IP地址访问设备,这一切很可能都在攻击者的掌控之中。
网件路由器被劫持
这名黑客使用被劫持的网件路由器实施撞库攻击,威胁攻击者从公开泄露的数据中获取凭证,并不断在多个在线服务上验证用户名和密码组合。
攻击者可利用网件路由器上的代理将撞库攻击传播至新的IP地址,并避免被暴力破解保护系统禁用。
Gorton接受电子邮件采访时表示,这类攻击的大多数目标为财富500强企业,但不方便披露撞库攻击的目标。但他们发现这些攻击向RouteX恶意软件感染的受害者发送警告信。
由网件路由器组成的这个僵尸网络规模目前仍是未解之谜,主要是被感染的设备不会持续连接到命令与控制服务器(C&C server),攻击者只会在所需之时连接到设备。
RouteX恶意软件背后的幕后黑手
根据RouteX恶意软件源代码内发现10个控制与命令域名判断,Fokbombus Labs认为该恶意软件与Exploit.in论坛用户“Links”过去使用的电子邮箱存在关联。Links恶意软件的开发人员同名的Links恶意软件曾于2016年10月利用这款软件感染了优比快(Ubiquiti Networks)的设备。
Links也可作为代理系统,是RouteX的前身,但复杂性程度要低很多。而与RouteX另一个关联之处在于,当登录时,Links使用类似基于ASCII的启动画面。
Forkbombus Labs上周发布了RouteX的详细分析报告,并在其中列出了攻击指示器(IOC)。
研究人员建议网件WNR2000 路由器的用户安装最新版固件,用户应避免在不同的网站重用密码。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/793057698.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容