专栏首页FreeBufLinux/Moose蠕虫:操纵路由器“帮你玩”社交网络

Linux/Moose蠕虫:操纵路由器“帮你玩”社交网络

ESET的安全研究员发表了一篇技术报告,报告中详细分析了一个新的蠕虫Linux/Moose。它的攻击对象主要是调制解调器、家用路由器和其他嵌入式计算机,可将这些设备变成一个代理网络,然后创建伪造的社交账号实施欺诈行为。

该恶意程序是由Olivier Bilodeau和Thomas Dupuy发现的,它会感染基于Linux的路由器和其他基于Linux系统的设备。如果它发现有其他的恶意程序和它争夺路由器的有限资源,会将其清除,然后继续寻找下一个感染目标。

Moose蠕虫不会利用路由器上存在的任何漏洞,它只会攻击那些配置较低并且还使用弱密码登录凭证的设备。这也意味着不仅仅是路由器会感染这种蠕虫,其他的设备也可能会感染,甚至是医疗设备。

当然最受影响设备还是路由器,涉及的路由器品牌有:Actiontec、Hik Vision、Netgear、Synology、TP-Link、ZyXEL和Zhone。

Moose蠕虫分析

下图标中列出了Moose的功能:

在对僵尸网络的监控中,我们发现这种恶意软件可以从热门的社交网站中窃取未经过加密的HTTP Cookies,并且还可执行各种欺诈活动……例如“关注”等。

下面就是我们从恶意程序所在的代理服务器上抓取的HTTP请求:

值得我们研究的是服务器更新机制是怎样和HTTPS进行连接的。但是它几乎所有的流量都是通过HTTPS进行加密,所以我们没办法看到攻击者执行的具体操作。

通过使用HTTPS通信中TLS握手的证书主题字段,我们可以确定目标社交网站的域名。

下图绘制出了某路由器每天向某社交网站发送的请求:

通过对一个被感染主机长达一个月的监视,我们发现它的流量主要会流向下面的社交网站:

Fotki (Yandex) Instagram (Facebook) Live (Microsoft) Soundcloud Twitter Vine Yahoo Youtube (Google)

从下图中可以看出最易成为目标的社交网站是twitter、instagram、soundcloud。

在分析时,我们经常问自己:难道他们付出了那么大的努力就是为了连接到社交网络?当然不排除说,关注、点赞、阅读量等还是有一定的市场的。所以攻击者也可能是为了赚钱更多的阅读量或者关注度而开发的这个病毒。

Moose蠕虫还能劫持路由器的DNS,将DNS请求路由到一个恶意服务器,窃取未加密的社交媒体cookies,然后再用cookies去关注虚假账户。

研究者们已经将该恶意程序的研究代码全部公开了,详见github。

防御措施

如果受害者发现其设备感染了这一病毒,应重启受害者设备,然后尽快的更改密码。然而需要注意的是,攻击者还是可以通过已知的受害者访问凭证访问受害系统,因为恶意程序已经知道了目标系统的IP地址,并且他们还有很多的方法访问受感染系统的交互式控制平台。

他们很可能会人为的访问,这也就意味着系统会被进一步的感染,比如说永久修改固件。对此用户最好将设备恢复出厂设置,固件升级,重装系统,修改密码。

即使你的设备没有联网,也要更改默认密码。如果可以的话,禁用telnet登录,使用SSH。确保你的路由器不能通过22(SSH)、23(Telnet)、80(HTTP)、443(HTTPS)网络端口进行访问。

如果你不知道如何测试你的设备有没有连接这些端口,你可以使用ShieldsUP service from GRC.com的“常用端口”对系统进行扫描,以确保上述的几个端口是关闭的。

完整报告点阅读全文

* 参考来源welivesecurity,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-05-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 漏洞预警:厄运cookie(Misfortune Cookie)漏洞影响全球1200万台路由器

    一个名为“厄运cookie(Misfortune Cookie)”的严重漏洞正在影响全球1200万台路由器安全,D-Link、 TP-Link、华为、中兴等品牌...

    FB客服
  • 你家路由器“有趣”的24小时 | 路由器真的安全吗?(含视频)

    想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击,此次的攻击导致大量用户无法正常访问网站的服务。 根据安全研究专家的分析结果,此次DDoS攻...

    FB客服
  • 新手科普:浅谈家用路由器安全变迁

    路由器是家庭网络的入口,在IoT浪潮下,路由器也起到了网络守护者的角色。正因为如此,这几年针对路由器的攻击也越来越多,本文就带大家细数这些年针对路由器的攻击。 ...

    FB客服
  • 猫、路由器、交换机和PC

    转载:http://duanzw102.blog.163.com/blog/static/161838173201392431722650/

    跟着阿笨一起玩NET
  • vrrp简介(1)

    1.VRRP(VirtualRouter Redundancy Protocol,虚拟路由器冗余协议)将可以承担网关功能的路由器加入到备份组中,形成一台虚拟路由...

    随心助手
  • 路由器不再吃灰,未来趋势如何?

    正在第二次冲刺IPO的迅雷,近日以1000万元的价格收购了wangxin technologys,以增强自己的硬件能力。迅雷路由正在公测,且正酝酿年内推出两款...

    罗超频道
  • 你家路由器“有趣”的24小时 | 路由器真的安全吗?(含视频)

    想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击,此次的攻击导致大量用户无法正常访问网站的服务。 根据安全研究专家的分析结果,此次DDoS攻...

    FB客服
  • 奇巧淫技丨校园“天翼校园宽带”破解,配置无线路由器上网!

    一川水巷
  • 飞鱼星路由器管理密码忘了怎么办?

    1、打开浏览器—输入192.168.1.1(一般路由器地址是这个或者查看路由器背面的登录信息)进路由—输入用户名,密码 ,(默认一般是admin)。

    砸漏
  • 上百万台光纤路由器爆认证旁路漏洞,可被远程访问攻击

    外媒近日消息,安全研究人员发现通过一个认证旁路漏洞能够远程访问超过一百万台光纤路由器。研究表明,该漏洞很容易通过修改浏览器地址栏中的 URL 来利用,可让任何人...

    C4rpeDime

扫码关注云+社区

领取腾讯云代金券