E安全9月14日讯 美国网络安全公司Forkbombus Labs发现，俄罗斯黑客过去几个月一直利用新型恶意软件“RouteX”感染美国网件（Netgear）路由器。RouteX将被感染设备变成SOCKS代理，并实施“凭证填充攻击”（Credential Stuffing Attack，俗称撞库）。

“凭证填充攻击”（俗称撞库攻击）是接管账户常用的手法之一，不断自动验证被盗用户名和密码的有效性，从而取得用户账号访问权。

Forkbombus Labs揭露，这名黑客利用去年12月披露的CVE-2016-10176漏洞接管美国网件WNR2000路由器。

CVE-2016-10176影响了网件 WNR路由器的Web服务器，未经身份验证的攻击者可秘密执行管理员级别的操作。

RouteX恶意软件将网件路由器变成代理

Forkbombus Labs首席科学官兼研究主管Stu Gorton（斯图·戈顿）表示，攻击者利用该漏洞在运行旧版固件（存在安全隐患）的网件路由器上下载并运行RouteX恶意软件。

RouteX恶意软件主要包含两大功能：

• 在每台被感染的设备上安装SOCKS代理。

• 添加Linux防火墙iptable规则，防止相同的漏洞被进一步利用，同时只允许少量IP地址访问设备，这一切很可能都在攻击者的掌控之中。

这名黑客使用被劫持的网件路由器实施撞库攻击，威胁攻击者从公开泄露的数据中获取凭证，并不断在多个在线服务上验证用户名和密码组合。

攻击者可利用网件路由器上的代理将撞库攻击传播至新的IP地址，并避免被暴力破解保护系统禁用。

Gorton接受电子邮件采访时表示，这类攻击的大多数目标为财富500强企业，但不方便披露撞库攻击的目标。但他们发现这些攻击向RouteX恶意软件感染的受害者发送警告信。

由网件路由器组成的这个僵尸网络规模目前仍是未解之谜，主要是被感染的设备不会持续连接到命令与控制服务器（C&C server），攻击者只会在所需之时连接到设备。

根据RouteX恶意软件源代码内发现10个控制与命令域名判断，Fokbombus Labs认为该恶意软件与Exploit.in论坛用户“Links”过去使用的电子邮箱存在关联。Links恶意软件的开发人员同名的Links恶意软件曾于2016年10月利用这款软件感染了优比快（Ubiquiti Networks）的设备。

Links也可作为代理系统，是RouteX的前身，但复杂性程度要低很多。而与RouteX另一个关联之处在于，当登录时，Links使用类似基于ASCII的启动画面。

Forkbombus Labs上周发布了RouteX的详细分析报告，并在其中列出了攻击指示器（IOC）。

研究人员建议网件WNR2000 路由器的用户安装最新版固件，用户应避免在不同的网站重用密码。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/793057698.shtml

▼点击“阅读原文” 查看更多精彩内容