Linux/Moose蠕虫:操纵路由器“帮你玩”社交网络

ESET的安全研究员发表了一篇技术报告,报告中详细分析了一个新的蠕虫Linux/Moose。它的攻击对象主要是调制解调器、家用路由器和其他嵌入式计算机,可将这些设备变成一个代理网络,然后创建伪造的社交账号实施欺诈行为。

该恶意程序是由Olivier Bilodeau和Thomas Dupuy发现的,它会感染基于Linux的路由器和其他基于Linux系统的设备。如果它发现有其他的恶意程序和它争夺路由器的有限资源,会将其清除,然后继续寻找下一个感染目标。

Moose蠕虫不会利用路由器上存在的任何漏洞,它只会攻击那些配置较低并且还使用弱密码登录凭证的设备。这也意味着不仅仅是路由器会感染这种蠕虫,其他的设备也可能会感染,甚至是医疗设备。

当然最受影响设备还是路由器,涉及的路由器品牌有:Actiontec、Hik Vision、Netgear、Synology、TP-Link、ZyXEL和Zhone。

Moose蠕虫分析

下图标中列出了Moose的功能:

在对僵尸网络的监控中,我们发现这种恶意软件可以从热门的社交网站中窃取未经过加密的HTTP Cookies,并且还可执行各种欺诈活动……例如“关注”等。

下面就是我们从恶意程序所在的代理服务器上抓取的HTTP请求:

值得我们研究的是服务器更新机制是怎样和HTTPS进行连接的。但是它几乎所有的流量都是通过HTTPS进行加密,所以我们没办法看到攻击者执行的具体操作。

通过使用HTTPS通信中TLS握手的证书主题字段,我们可以确定目标社交网站的域名。

下图绘制出了某路由器每天向某社交网站发送的请求:

通过对一个被感染主机长达一个月的监视,我们发现它的流量主要会流向下面的社交网站:

Fotki (Yandex) Instagram (Facebook) Live (Microsoft) Soundcloud Twitter Vine Yahoo Youtube (Google)

从下图中可以看出最易成为目标的社交网站是twitter、instagram、soundcloud。

在分析时,我们经常问自己:难道他们付出了那么大的努力就是为了连接到社交网络?当然不排除说,关注、点赞、阅读量等还是有一定的市场的。所以攻击者也可能是为了赚钱更多的阅读量或者关注度而开发的这个病毒。

Moose蠕虫还能劫持路由器的DNS,将DNS请求路由到一个恶意服务器,窃取未加密的社交媒体cookies,然后再用cookies去关注虚假账户。

研究者们已经将该恶意程序的研究代码全部公开了,详见github。

防御措施

如果受害者发现其设备感染了这一病毒,应重启受害者设备,然后尽快的更改密码。然而需要注意的是,攻击者还是可以通过已知的受害者访问凭证访问受害系统,因为恶意程序已经知道了目标系统的IP地址,并且他们还有很多的方法访问受感染系统的交互式控制平台。

他们很可能会人为的访问,这也就意味着系统会被进一步的感染,比如说永久修改固件。对此用户最好将设备恢复出厂设置,固件升级,重装系统,修改密码。

即使你的设备没有联网,也要更改默认密码。如果可以的话,禁用telnet登录,使用SSH。确保你的路由器不能通过22(SSH)、23(Telnet)、80(HTTP)、443(HTTPS)网络端口进行访问。

如果你不知道如何测试你的设备有没有连接这些端口,你可以使用ShieldsUP service from GRC.com的“常用端口”对系统进行扫描,以确保上述的几个端口是关闭的。

完整报告点阅读全文

* 参考来源welivesecurity,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-05-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Android 开发者

Android Power Placeholder | 中文教学视频

持久稳定的电量是每一位用户,各个设备厂商,以及开发者的共同诉求。Android 9 Pie 在之前版本的基础上,继续优化电量管理,并推出了电量功能如下:

1202
来自专栏小石不识月

做这 12 件简单的小事,能让你更安全地上网

勒索软件(Ransomware)攻击、身份盗窃,以及在线信用卡欺诈,这些都可能是具有毁灭性的,然而它们只是众多类型的恶意软件与网络攻击中的冰山一角。如果你从来没...

2231
来自专栏大数据文摘

2015年数据库漏洞威胁报告(下载)

2204
来自专栏腾讯位置服务

地主认证(商户标注) | 常见问题

地主认证(商户标注)申请 1.什么人可以申请商户标注, 是否收费? 各类企事业单位、个体工商户,对自己的经营场所、实体店铺希望腾讯地图进行收录的,均可申请商户...

6243
来自专栏FreeBuf

针对爱尔兰DDoS攻击的取证分析

在过去一段时间内,爱尔兰的许多在线服务和公共网络都遭受到了 DDoS 攻击。英国广播公司(BBC)最近的一篇文章[链接]就指出 2016 年 DDoS 攻击事件...

2737
来自专栏安智客

安全芯片密码检测、密码模块安全检测、与等保2.0

前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级! 而在GM/T 0028-2015《密码模块安全技术要求》和GM...

4695
来自专栏小文博客

https站点无法接入百度联盟?—— 附解决方案

做网站这么久,从一开始的兴趣,到现在网站越来越大,流量越来越多,服务器开销也是越来越大。在不影响用户体验的情况下,适当的将流量变现,不仅可以节省服务器费用,有时...

50913
来自专栏Python中文社区

量化金融策略开源框架:QUANTAXIS

QUANTAXIS量化金融策略框架,是一个面向中小型策略团队的量化分析解决方案,是一个从数据爬取、清洗存储、分析回测、可视化、交易复盘的本地一站式解决方案。 我...

2391
来自专栏FreeBuf

FireEye发布调查报告,混淆技术成为了2017年攻击者最喜欢用的技术之一

在2017年上半年,我们发现使用命令行逃逸技术和混淆技术的攻击者数量正在显著增加,网络间谍组织和专门针对金融领域的黑客组织仍在继续采用最先进的应用白名单绕过技术...

3597
来自专栏FreeBuf

窃听电话的Hacking Team RCSAndroid木马

安卓设备小心:4.0-4.3版本都可以被RCSAndroid 搞定。 安卓平台上的远程控制木马RCSAndroid是目前曝光的安卓中最专业、最复杂的恶意程序之一...

2568

扫码关注云+社区

领取腾讯云代金券