黑客利用流量进行活动

攻击MikroTik路由器的黑客已将这些设备配置为将网络流量转发到其控制下的少数IP地址。

网络犯罪分子通过利用CVE-2018-14847漏洞获得了对这些设备的访问权限,这是一个自4月以来已修补的漏洞。

该漏洞发生在Winbox管理组件中,允许远程攻击者绕过身份验证并读取任意文件。利用代码是免费的,至少有三个来源。

从7月中旬开始,Qihoo 360 Netlab的安全研究人员在他们的系统上发现了针对MikroTik路由器的攻击活动。

他们的观察结果显示,最近的加密劫持活动影响了超过200,000台设备,以及旨在从受感染设备收集流量的操作。

攻击者对流量进行引导

360Netlab 今天在一篇博客文章中宣布,全球有超过7,500台MikroTik路由器正在向9个外部IP地址提供TZSP(TaZmen嗅探器协议)流量。

根据研究人员的说法,攻击者修改了设备的数据包嗅探设置,将数据转发到他们的位置。

“37.1.207.114是大本营。大量设备的流量都到达目的地,”奇虎专家告知。

分析表明,攻击者对端口20,21,25,110和144特别感兴趣,这些端口用于FTP数据,FTP,SMTP,POP3和IMAP流量。有一点奇怪的是来自SNMP(简单网络管理协议)端口161和162的流量,目前研究人员还无法解释。

受损设备数量最多,为1,628,位于俄罗斯,其次是伊朗(637),巴西(615),印度(594)和乌克兰(544)。研究人员表示,受影响国家的安全机构可以通过netlab [at] 360.cn与他们联系,获取完整的知识产权清单。

采矿作业失败

奇虎的分析发现,目前在线曝光的MikroTik设备中约有31%易受CVE-2018-14847攻击。这占据了370,000个端点,其中大多数存在于巴西和俄罗斯。

当前的攻击试图通过基于浏览器的Coinhive cryptomining脚本来感染它们。网络犯罪分子通过将HTTP代理设置重定向到他们创建的错误页面来实现这一点,他们放置了挖掘脚本。

“通过这样做,攻击者希望对用户设备上的所有代理流量进行网络挖掘,”研究人员说。

但是,攻击者犯了一个错误,并设置了代理访问控制列表,阻止所有外部Web资源,包括挖掘操作所需的资源。

恶意Sock4代理设置

受攻击的MikroTik路由器数量最多,配置了恶意Socks4代理,允许从95.154.216.128/25 IP地址块进行访问。

为了实现持久性,攻击者在设备上安排了一项任务,通过连接到特定的URL来报告其当前的IP地址。

“此时,所有239K IP仅允许从95.154.216.128/25访问,实际上主要是95.154.216.167。很难说攻击者对这些Sock4代理有什么看法,但我们认为这是重要的事情,”专家表示。

研究人员建议MikroTik用户在设备上安装最新的固件版本。根据Qihoo提供的信息,用户可以检查HTTP代理,Socks4代理和网络流量捕获功能是否被恶意行为者激活和利用。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/thousands-of-compromised-mikrotik-routers-send-traffic-to-attackers/

扫码关注云+社区

领取腾讯云代金券