新闻快讯
< >

俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击

E安全9月17日讯 美国网络安全公司Forkbombus Labs发现,俄罗斯黑客过去几个月一直利用新型恶意软件“RouteX”感染美国网件(Netgear)路由器。RouteX将被感染设备变成SOCKS代理,并实施“凭证填充攻击”(Credential Stuffing Attack,俗称撞库)。

黑客利用去年发布的漏洞发起撞库攻击

“凭证填充攻击”(俗称撞库攻击)是接管账户常用的手法之一,不断自动验证被盗用户名和密码的有效性,从而取得用户账号访问权。

俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击-E安全

Forkbombus Labs揭露,这名黑客利用去年12月披露的CVE-2016-10176漏洞接管美国网件WNR2000路由器。

CVE-2016-10176影响了网件 WNR路由器的Web服务器,未经身份验证的攻击者可秘密执行管理员级别的操作。

RouteX恶意软件将网件路由器变成代理

Forkbombus Labs首席科学官兼研究主管Stu Gorton(斯图·戈顿)表示,攻击者利用该漏洞在运行旧版固件(存在安全隐患)的网件路由器上下载并运行RouteX恶意软件。

RouteX恶意软件主要包含两大功能:

  • 在每台被感染的设备上安装SOCKS代理。

  • 添加Linux防火墙iptable规则,防止相同的漏洞被进一步利用,同时只允许少量IP地址访问设备,这一切很可能都在攻击者的掌控之中。

网件路由器被劫持

这名黑客使用被劫持的网件路由器实施撞库攻击,威胁攻击者从公开泄露的数据中获取凭证,并不断在多个在线服务上验证用户名和密码组合。

攻击者可利用网件路由器上的代理将撞库攻击传播至新的IP地址,并避免被暴力破解保护系统禁用。

Gorton接受电子邮件采访时表示,这类攻击的大多数目标为财富500强企业,但不方便披露撞库攻击的目标。但他们发现这些攻击向RouteX恶意软件感染的受害者发送警告信。

由网件路由器组成的这个僵尸网络规模目前仍是未解之谜,主要是被感染的设备不会持续连接到命令与控制服务器(C&C server),攻击者只会在所需之时连接到设备。

俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击-E安全

RouteX恶意软件背后的幕后黑手

根据RouteX恶意软件源代码内发现10个控制与命令域名判断,Fokbombus Labs认为该恶意软件与Exploit.in论坛用户“Links”过去使用的电子邮箱存在关联。Links恶意软件的开发人员同名的Links恶意软件曾于2016年10月利用这款软件感染了优比快(Ubiquiti Networks)的设备。

Links也可作为代理系统,是RouteX的前身,但复杂性程度要低很多。而与RouteX另一个关联之处在于,当登录时,Links使用类似基于ASCII的启动画面。

俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击-E安全

Forkbombus Labs上周发布了RouteX的详细分析报告,并在其中列出了攻击指示器(IOC)。

俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击-E安全

研究人员建议网件WNR2000 路由器的用户安装最新版固件,用户应避免在不同的网站重用密码。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。