当前位置:首页 > 健康养生 > 东吴霸王传2015-俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击

东吴霸王传2015-俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击

    2020-01-11 14:24:28发布 浏览3983次

东吴霸王传2015-俄罗斯黑客利用RouteX恶意软件感染美国网件路由器实施撞库攻击

东吴霸王传2015,e安全9月14日讯 美国网络安全公司forkbombus labs发现,俄罗斯黑客过去几个月一直利用新型恶意软件“routex”感染美国网件(netgear)路由器。routex将被感染设备变成socks代理,并实施“凭证填充攻击”(credential stuffing attack,俗称撞库)。

黑客利用去年发布的漏洞发起撞库攻击

“凭证填充攻击”(俗称撞库攻击)是接管账户常用的手法之一,不断自动验证被盗用户名和密码的有效性,从而取得用户账号访问权。

forkbombus labs揭露,这名黑客利用去年12月披露的cve-2016-10176漏洞接管美国网件wnr2000路由器。

cve-2016-10176影响了网件 wnr路由器的web服务器,未经身份验证的攻击者可秘密执行管理员级别的操作。

routex恶意软件将网件路由器变成代理

forkbombus labs首席科学官兼研究主管stu gorton(斯图·戈顿)表示,攻击者利用该漏洞在运行旧版固件(存在安全隐患)的网件路由器上下载并运行routex恶意软件。

routex恶意软件主要包含两大功能:

在每台被感染的设备上安装socks代理。

添加linux防火墙iptable规则,防止相同的漏洞被进一步利用,同时只允许少量ip地址访问设备,这一切很可能都在攻击者的掌控之中。

网件路由器被劫持

这名黑客使用被劫持的网件路由器实施撞库攻击,威胁攻击者从公开泄露的数据中获取凭证,并不断在多个在线服务上验证用户名和密码组合。

攻击者可利用网件路由器上的代理将撞库攻击传播至新的ip地址,并避免被暴力破解保护系统禁用。

gorton接受电子邮件采访时表示,这类攻击的大多数目标为财富500强企业,但不方便披露撞库攻击的目标。但他们发现这些攻击向routex恶意软件感染的受害者发送警告信。

由网件路由器组成的这个僵尸网络规模目前仍是未解之谜,主要是被感染的设备不会持续连接到命令与控制服务器(c&c server),攻击者只会在所需之时连接到设备。

routex恶意软件背后的幕后黑手

根据routex恶意软件源代码内发现10个控制与命令域名判断,fokbombus labs认为该恶意软件与exploit.in论坛用户“links”过去使用的电子邮箱存在关联。links恶意软件的开发人员同名的links恶意软件曾于2016年10月利用这款软件感染了优比快(ubiquiti networks)的设备。

links也可作为代理系统,是routex的前身,但复杂性程度要低很多。而与routex另一个关联之处在于,当登录时,links使用类似基于ascii的启动画面。

forkbombus labs上周发布了routex的详细分析报告,并在其中列出了攻击指示器(ioc)。

研究人员建议网件wnr2000 路由器的用户安装最新版固件,用户应避免在不同的网站重用密码。


上海快三

   上一篇:报名只剩一天!中央纪监委机关直属单位公开招聘工作人员
   下一篇:苏宁金服完成百亿增资扩股 独立为苏宁金控子公司

© Copyright 2018-2019 mooresdds.com 安厚信息门户网 Inc. All Rights Reserved.