这篇博文的作者是@hasherezade杰罗姆·塞古拉

MikroTik是一家生产路由器和ISP无线系统的拉脱维亚公司,在过去的几个月里,该公司一直在处理影响其产品操作系统的几个漏洞。自从RouterOS的一个关键缺陷确认在2018年4月下旬,攻击一直在以惊人的速度进行,当一项新发现的利用技术cve - 2018 - 14847被确认。

问题在于,尽管供应商提供了安全补丁,但大量的MikroTik路由器仍未打补丁,成为自动攻击的牺牲品。犯罪分子很快就利用Proof of Concept代码在短时间内破坏了数十万台设备。去年夏天,SpiderLabs的研究人员发现通过黑客Mikrotik设备的最大恶意斗争活动是什么,现在已经进化到了更广泛的问题。

使用这个最新的技巧,在被攻击路由器背后的用户会得到一个虚假的浏览器更新页面。当他们运行这种恶意更新时,它会将代码解压缩到他们的电脑上,从而扫描互联网上其他易受攻击的路由器,并试图利用它们。

可疑的浏览器更新

安全研究人员@VriesHd首先发现了一个新的运动试图使用典型的社会工程技术进一步破坏易受攻击的路由器。运行受感染的MikroTik路由器的互联网提供商将向终端用户提供这种恶意重定向“旧版本浏览器”的服务:

根据一项搜索通过Censys,大约有11000个被入侵的MikroTik设备托管这个虚假下载页面:

可疑的浏览器更新是从FTP服务器下载的,如下所示:

有趣的是,这个IP地址也被列为一个免费和开放的网络代理。代理通常被那些想要绕过某些国家限制的人所使用(例如,如果你不在美国,就看美国版的Netflix),或者仅仅是作为一种掩盖IP地址的方法。

载荷分析

行为分析

有效载荷遵循假装的主题是命名的安装程序upd_browser

当我们部署它时,它会弹出一个错误:

然而,如果我们捕获网络流量,我们可以看到它在后台扫描各种IP地址,试图连接端口8291 (通过Winbox应用程序管理MicroTik路由器的默认端口):

拆包

丢失的有效负载是一个相对较大的可执行文件(7.25 MB),覆盖范围很大。各章节的标题及其可视化如下所示:

正如我们可以通过查看部分名称来识别,它是由一个流行的,简单的包装:UPX.覆盖层的大小表明还有更多的东西需要提取。经过进一步的检查,我们发现它将Python DLL和其他相关文件解压缩到%TEMP%文件夹中,然后加载它们。此时,很容易猜测这个EXE实际上是一个包装好的Python脚本。我们可以按照上面描述的步骤来拆封它这里

入口点位于名为upd_browser.在分解并遵循脚本后,我们发现恶意软件的核心由两个Python脚本组成:upd_browser.pyups.py

在脚本

模块的主要功能很简单:

我们可以看到,错误弹出框是硬编码的:它不会警告任何实际的错误,而是用作诱饵。

之后,恶意软件通过查询使用合法服务IP记录器进行的跟踪器的硬编码地址来记录受害者的IP地址。跟踪器采用一个像素大小的图像的形式:

稍后,在定义的时间间隔中重复查询该地址。

最重要的操作在名为"扫描,它部署在多个并行线程中(最大线程数定义为thmax600)。函数”扫描产生伪随机IP地址,并试图连接到上述端口8291的每一个。当连接尝试成功时,它会尝试另一个连接,这次是在一个范围为56778到56887的随机端口上。当这个失败时,它继续剥削:

函数”poc,目的是利用已知的漏洞感染路由器。它首先尝试利用路径遍历漏洞(CVE-2018-14847)检索凭证:

dat文件应该是M2格式的,因此脚本自带了一个内置解析器(function .dat)load_file.):

如果从user.dat文件检索密码成功,它将解码凭证并使用它们创建后门:一个带有随机生成密码的帐户。它还设置一个由路由器执行的计划任务。

在调度程序中设置的脚本是从硬编码生成的模板(清洁版可用这里).它的作用是操纵路由器的设置并设置一个错误页面加载CoinHive矿工。

错误页面可以放在两个位置:WebProxy / Error.html.“ 要么 ”flash / webproxy / error.html”。

当用户试图查看被拒绝访问的URL时,就会显示这样的页面。但是恶意脚本在路由器中以这样一种方式配置,基本上任何HTTP请求都会导致错误。然而,错误页面被设计成欺骗原始流量,将请求页面显示为iframe。因此,用户可能会像往常一样浏览大部分网页,而不会注意到变化。例子:

嵌入式矿工嵌入,因此在此期间,他们的机器用于采矿目的。

缓解措施

Mikrotik用户被敦促尽快修补他们的路由器,并且应该假设他们的身份验证凭据如果运行过时的版本,则会受到损害。mikrotik下载页面说明如何升级到RouterOS。

一个博客此外,CVE-2018-14847还建议用户限制通过防火墙访问Winbox,并确保配置文件是干净的(这通常是脚本或代理被注入的地方)。

意识到这些漏洞的存在和容易被利用是很重要的,因为给路由器打补丁并不是很多人习惯做的事情。然而,在许多情况下,用户将无法这样做,除非他们的互联网服务提供商为他们上游。

通过这种最新的社会工程方案,我们看到罪犯如何试图感染普通用户并利用他们的计算机扫描易受攻击的路由器互联网。这种技术是聪明的,因为这样的努力需要时间和资源来效率。

必威平台APP由于我们的反恶意软件引擎检测到并阻止实时更新并阻止此假浏览器更新,请保护MalwareBytes业务客户和高级消费者用户

必威平台APPMalwarebytes端点保护阻止伪装成浏览器更新的恶意可执行程序。

妥协的指标

样本散列

57 eb8c673fc6a351b8c15310e507233860876ba813ed6ac633e9af329a0bbaa0

硬币座位钥匙

oiKAGEslcNfjfgxTMrxKGMJvh436ypIM 5zHUikiwJT4MLzQ9PLbU11gEz8TLCcYx 5ro564mebqsyzcqee0m2lpllbeapcv qkoxv8jxxlcuait0lgcmjihw7yljeyyvo zsyl0fvutbhhdltveye3wonyd3bu1fk ByMzv397Mzjcm4Tvr3dOzD6toK0LOqgf joy1MQSiGgGHos78FarfEGIuM5Ig7l8h ryz1dl4qyudlqbmchmvibxpl1e1bbgs jh0GD0ZETDOfypDbwjTNWXWIuvUlwtsF BcdFFhSoV7WkHiz9nLmIbHgil0BHI0Ma