全球超过30万路由器变矿机,现每日递增1万

图片.png

据白帽汇安全研究院统计,目前发现超过30w的MikroTik路由器被植入挖矿代码,攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取(CVE-2018-14847)漏洞。完整的PoC在今年5月份已经被公布(https://github.com/BasuCert/WinboxPoC),官方在4月份更新了固件并修复了该漏洞,但是目前仍存在大量用户的没有及时进行更新系统补丁导致被入侵。CVE-2018-14847漏洞影响从6.29到6.42的所有版本的RouterOS。远程攻击者可利用该漏洞绕过身份验证并读取任意文件。攻击者可完全控制该设备,危害极大。

Winbox是一个Windows GUI应用程序,是路由器管理系统RouterOS的一个组件。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。根据白帽汇安全研究院统计,FOFA平台可以搜到230万的Winbox服务。Winbox的全球分布(仅为分布情况,非漏洞影响情况),国内数量还是很多的。

youdu图片20181011165628.png

挖矿分析

目前有超过30w的MikroTik路由器已被植入挖矿脚本,某个攻击者已经入侵了10w多的设备,目前数量最多。一个月前数量还是13w,增长了17w多,现在数量仍在已每天1w+的数量持续上升。根据FOFA最新数据分析,以下是被植入的挖矿脚本中KEY或钱包地址及数量统计:

youdu图片20181011161645.png

目前已经受感染的设备已经超过30万。巴西有143469,俄罗斯有29095,印度有31102,印度尼西亚有17248,美国有9453。

全球感染挖矿分布

youdu图片20181011165357.png

漏洞分析

据分析,黑客利用的是4月份公布的CVE-2018-14847漏洞,虽然官方已修复,但由于其数量庞大的用户群体,仍有大量设备未打补丁,黑客可以利用该漏洞登录路由器。

图片.png

图片.png

登录进路由器后,可以进行文件上传,流量监听,执行命令,配置定时任务等操作。目前发现许多黑客批量利用路由器进行挖矿,其挖矿手法并不是在路由器上运行恶意可执行文件,而是通过路由器功能推送包含挖矿脚本的自定义错误页面。接入到该路由器的用户,只要用户在浏览网页时跳转到任何类型的错误页面,都会打开这个包含挖矿脚本的自定义错误页面。如果后端本地服务器也连接到路由器,只要用户连接到了这个服务器,即使没有直接连接到受感染路由器,也会受到影响。

目前发现被挖矿的设备已经无法登陆,也就是说除了目前已经确认被入侵的20多万台设备,还有10到20万台设备面临被入侵的风险。

图片.png

图片.png

用户可以在MikroTik RouterOS设备上进行抓包,并把捕获的网络流量转发到指定Stream服务器。目前发现一些黑客在监听该设备。主要监听一些明文数据传输协议对应的端口,比如:20,21,25,110,143端口,这些端口分别对应FTP-data,FTP,SMTP,POP3,IMAP协议。黑客可以根据抓到的受害者的相关网络流量,获取FTP文件,FTP账号密码,电子邮件内容,电子邮件账号密码等。下面是流量监听界面。

图片.png

图片.png

CVE

CVE-2018-14847

POC

图片.png

目前FOFA客户端已经收录该漏洞POC。.

修复建议

  • 更新软件系统,同时检测代理和网络流量抓包功能是否被黑客篡改利用。官方地址为https://mikrotik.com/

  • 不要将Winbox端口映射到外网。

白帽汇会持续跟进分析,请持续关注链接https://nosec.org/home/detail/1841.html

参考链接

[1] POC: https://github.com/BasuCert/WinboxPoC

[2] 感染挖矿情况:https://fofa.so/result?q=app%3D%22Mikrotik-HttpProxy%22%26%26%28body%3D%22CoinHive.Anonymous%22%7C%7Cbody%3D%22CRLT.Anonymous%22%7C%7Cbody%3D%22+WMP.Anonymous%28%22%29&qba

[3] 《窃听风云: 你的MikroTik路由器正在被监听》https://mp.weixin.qq.com/s/s63kGzl6uxSp7tiYBc9_FA

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐