窥探家庭网络的恶意木马

近几年,我们已经看到了很多关于家庭路由器遭受攻击的报道。攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点,其他的攻击方式还包括植入后门和DNS劫持。在这些攻击中,攻击者针对家庭网络的攻击意图和目的表现得非常明显。

本文分析了一个名为TROJ_VICEPASS.A的恶意软件。首先,它会伪装成网站上的一个Adobe Flash更新文件,并诱导访问者下载并安装。一旦被执行,它将试图连接家庭路由器,并搜索网络中所有的联网设备。然后,它会利用预先准备的账号和密码尝试登录这些联网设备,并获取敏感数据;最后,它将偷窃的数据发送至远程服务器,然后将自己从电脑上删除。

当该软件访问恶意网站时,如果这些网站已被植入假的Flash更新文件,那么用户将很可能遇到恶意软件TROJ_VICEPASS.A。通常情况下,网站会建议访问者下载并安装这个Flash更新文件。

一旦恶意软件被执行,它将试图使用一个预先准备的用户名和密码列表,通过管理控制台连接到路由器。如果连接成功,恶意软件会试图扫描整个网络来寻找所有已连接的设备。

需要指出的是,恶意软件使用HTTP协议来扫描并搜寻联网设备,扫描的IP地址范围是192.168.[0-6].0—192.168.[0-6].11,这些IP地址一般都会用作路由器IP地址。搜索路由器的打印日志如下所示:

我们注意到恶意软件会检测苹果设备,例如iPhone和iPad,而它们设备并没有开放的HTTP端口。然而,需要注意的是,从这些字符串可以看出,它更加关注路由器。我们发现恶意软件使用以下名字搜索路由器等设备:

一旦恶意软件对网络中的设备搜索结束,它会利用base64编码和一个自定义的加密算法对搜索结果加密。然后,通过HTTP协议将加密后的结果发送到一个远程C&C服务器。

恶意软件成功发送结果之后,就从受害者电脑上自我删除,并清除它的任何踪迹。攻击者使用下面的命令来实现这些操作:

相关文件哈希:

根据恶意软件的行为可猜测,它可能只是攻击者用来收集情报的先行部队,这些信息很可能会被用来发动一场大型恶意活动。收集来的信息可能会被存储并用作以后的跨站请求伪造(CSRF)等攻击,因为如果攻击者手中已经有了特定IP的登录凭证,那么以后的攻击将变得更加容易。

无论攻击者的最终目标是什么,这个恶意软件都向我们展示了设备安全的重要性,即使那些不太可能成为目标的设备也需要关注其安全。所以,用户应该经常修改路由器的登录凭证,最好设置成强密码。此外,用户还可以选择密码管理软件来帮助他们管理所有的密码。

除了良好的密码习惯,用户还应该永远记住其他的安全措施。例如,应该尽可能避免点击邮件中的不明链接。如果需要访问一个站点,最好直接输入网址或者使用一个书签。如果软件需要升级,那么可以直接访问软件的官方网站去下载。此外,也可以选择设定软件自动安装更新。最后,用户应该采取安全措施来保护设备。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-03-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏木子昭的博客

从Github下载开源电子书

Github有很多开源电子书, 既然是开源的, 那就可以下载到本地访问, 这里以阮一峰老师的《ECMAScript 6入门》为例, 演示开源电子书的下载, 以及...

4285
来自专栏walterlv - 吕毅的博客

在 GitHub 公开仓库中隐藏自己的私人邮箱地址

2018-08-05 08:56

2371
来自专栏FreeBuf

魔波广告恶意病毒简析

1.病毒介绍 魔波广告恶意病毒通过仿冒浏览器,播放器和一些游戏等进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取 root权限,频繁推送广告,监...

2315
来自专栏FreeBuf

攻击者侵入系统后如何提升账户权限:提权技术详细分析

提权 通常而言,恶意攻击者侵入到某个系统最初往往只能获取到一个普通权限的账户。但这无疑给进一步的渗透带来了阻碍,因此攻击者会开始尝试通过各种手段来提升自己的账户...

3403
来自专栏CSDN技术头条

怒怼黑客,Linux 下的7个开源安全工具

https://www.tecmint.com/best-antivirus-programs-for-linux/

4617
来自专栏农夫安全

安全的盲区----失效的DNS解析记录

1、一个日常工作中经常出现的场景 假如A公司起步时,将全部服务器放置于云主机上。 其中一个业务为java.farmsec.com,随着这家公司的业务扩大以及调...

3778
来自专栏逸鹏说道

平安证券自主开户客户端存在任意用户信息篡改漏洞

详细说明: 1、打开应用点击“马上开户”-“我知道了”,登录账户 2、未注册过的手机登录时,验证码可爆破。但是这个只是任意用户注册,是另外一个漏洞了。 3、...

3096
来自专栏FreeBuf

黑客利用GitHub将恶意软件推送至用户电脑以盗取凭据

几个月前,我们曾发布了有关网络罪犯如何使用GitHub在被黑网站上加载各种加密货币矿工的报告文章。不幸的是即便如此,我们依然没能阻止网络罪犯们的脚步。如今,我们...

3667
来自专栏FreeBuf

Palo Alto Networks:新型恶意软件家族Reaver与SunOrcal存在一定联系

概要 Unit 42安全小组已经发现了一种新的恶意软件家族,并将其命名为“Reaver”。研究人员表示,这一新型恶意软件与在2016年针对中国台湾地区的黑客攻击...

2555
来自专栏信安之路

模拟挖矿黑客攻击过程

眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS...

2440

扫码关注云+社区

领取腾讯云代金券