2018-09-05 21:45:04 黑客視界

在上个月，我们了解到了一场针对巴西人的大型加密货币挖掘恶意软件分发活动，主要受影响的是MikroTik路由器。结合各方报道来看，最终有超过20万台MikroTik路由器受到了感染，攻击者以此在巴西各地创建了一个庞大的XMR矿工僵尸网络。

根据360网络安全研究院的说法，攻击者在这场活动中使用了由维基解密披露的CIA Vault7黑客工具Chimay Red，并涉及到两个与MikroTik路由相关的漏洞利用——Winbox任意目录文件读取（CVE-2018-14847）和Webfig远程代码执行漏洞。

从最新公布的数据来看，自7月中旬以来，在37万台易受攻击的MikroTik路由器中，已有超过7500台遭到恶意入侵。360网络安全研究院，攻击者正在利用CVE-2018-14847漏洞向这些路由器植入CoinHive挖矿代码，启用Socks4代理，以及监听路由器网络流量等。

易受攻击路由器的分布情况

Winbox是一个Windows GUI应用程序，Webfig是一个Web应用程序，两者都是MikroTik路由器的一个组件并被设计为路由器管理系统。Winbox和Webfig与MikroTik路由器的网络通信分别在TCP/8291端口上，TCP/80或TCP/8080等端口上。

通过对全网TCP/8291端口的扫描分析，360网络安全研究院发现开放该端口的IP数量为500万个，有120万个被确认为Mikrotik路由器。其中，有 37万台（30.83%）Mikrotik设备受CVE-2018-14847漏洞影响。

从上图我们可以看出，这些路由器遍布俄罗斯、伊朗、巴西、印度、乌克兰、孟加拉国、印度尼西亚、厄瓜多尔、美国、阿根廷、哥伦比亚、波兰、肯尼亚、伊拉克以及一些欧洲和亚洲国家（包括我国），其中以俄罗斯数量最多。

受感染路由器沦为“矿工”

360网络安全研究院指出，攻击者在启用MikroTik路由器http代理功能之后，设法将所有的HTTPProxy请求都重定向到一个本地的HTTP 403 error.html页面。在这个页面中，攻击者嵌入了一个来自CoinHive.com的挖矿代码链接。通过这种方式，攻击者便可以利用所有经过路由器上HTTP代理的流量来挖掘加密货币，进而获取非法收益。

启用Socks4代理扫描更多设备

目前，360网络安全研究院共检测到了 23.9万个IP被恶意启用了Socks4代理。由于MikroTik 路由器会更新IP地址，因此攻击者设置了定时任务来访问特定的URL以此获取最新的IP地址。此外，攻击者也正在通过这些Socks4代理进行扫描，以寻找更多易受攻击的MikroTik路由器。

网络流量被转发到指定IP

由于MikroTik路由器允许用户抓包并转发到指定的Stream服务器，因此攻击者同样能够将来自受感染路由器的网络流量转发到指定的IP。

目前，已经有7500台MikroTik路由器被360网络安全研究院确认为遭到了非法监听，并将TZSP流量转发到了多个指定的IP，通信端口UDP/37008。

就拿其中一个IP（37.1.207.114）来说，它主要监听的是TCP协议20、21、25、110和143端口，分别对应FTP-data、FTP、SMTP、POP3和IMAP协议流量。值得注意的是，这些应用协议都是通过明文传输数据的。因此，攻击者可以完全掌握连接到该设备下的所有受害者的相关网络流量，包括FTP文件，FTP账号密码，电子邮件内容，电子邮件账号密码等。