資安研究人員發現了一波挖礦劫持(Cryptojacking)攻擊活動 – 攻擊者劫持電腦進行挖礦( coinmining ),他們利用MikroTik路由器的漏洞注入惡意版本的Coinhive(網頁型虛擬貨幣礦工)。以下是你所需要了解關於此威脅的資訊:
發生了什麼事?
據報導,挖礦劫持一開始在巴西攻擊了7.2萬台的MikroTik路由器。直到本文撰寫時,已經有超過20萬台MikroTik路由器遭到入侵。雖然大多數路由器都在巴西,但研究人員指出這些攻擊現在也在國外散播。
這表示使用有漏洞MikroTik路由器的使用者或組織容易遭受挖礦劫持。事實上,研究人員也有發現有非MikroTik路由器受到影響,很可能是因為巴西的網路服務商(ISP)在其主要網路內使用MikroTik路由器。
[相關報導:VPNFilter影響的裝置有19個漏洞,可能遭受Mirai、Reaper、WannaCry攻擊]
這波挖礦劫持攻擊利用什麼漏洞?
這波挖礦劫持攻擊了Winbox中的安全漏洞,這是MikroTik路由器作業系統RouterOS內的遠端管理服務。這個漏洞沒有一般的CVE編號,它於2018年4月披露且已經被修補。
Winbox可以讓使用者遠端設定他們的設備。攻擊此漏洞可以讓攻擊者用工具連到Winbox端口(8291)和要求存取系統使用者資料庫檔案。
[延伸閱讀:檢視最值得注意的家用網路安全威脅]
挖礦劫持攻擊如何運作?
攻擊漏洞會讓攻擊者取得設備的管理員權限,進而讓他們將惡意版本的Coinhive腳本注入使用者瀏覽的每個網頁。使用者即使是連到有漏洞路由器的無線網路也可能受到影響。
因為惡意虛擬貨幣挖礦活動會導致嚴重的效能問題和網路流量增加,惡意攻擊的幕後黑手意識到這些攻擊引起了ISP和安全研究人員的注意而改變了策略。惡意Coinhive腳本現在只會注入路由器返回的錯誤頁面來保持低調。
研究人員還發現一個攻擊者找到新的有漏洞路由器時用的腳本。惡意腳本會修改系統設定,啟用代理程式,排程進行自我更新,並且製造後門。這可以看出駭客試圖要躲避偵測。
[TrendLabs Security Intelligence Blog:虛擬貨幣全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三]
這是新的挖礦劫持手法嗎?
這波攻擊並不新。MikroTik RouterOS的漏洞之前也被攻擊用來加入殭屍網路過。MikroTik路由器還曾在Operation Slingshot網路間諜攻擊活動遭受入侵,被用來在目標系統內取得立足點。趨勢科技的研究人員還發現了類似Mirai的活動,會去掃描有漏洞的物聯網(IoT)設備,如路由器、網路攝影機和數位錄影機(DVR)。接著利用預設密碼來加以劫持。
鑑於虛擬貨幣挖礦的熱門,惡意份子加入此行列並不奇怪。像是我們可以看到一個駭客組織兜售針對物聯網裝置的門羅幣挖礦病毒。還可以修改地址/錢包替換成攻擊者的來竊取受害者的虛擬貨幣。
[InfoSec指南:解決挖礦劫持所用的網頁注入]
如何阻止這類威脅?
不安全的路由器可能會讓威脅長驅直入,劫持電腦來協助網路犯罪,讓個人和關鍵資料被竊或是變動。以下是一些建議的最佳作法:
- 更新修補路由器和連網裝置。
- 停用或限制可被作為進入點的過時外掛程式、擴充功能或其它軟體元件。
- 使用多因子身份認證並加強或更新設備的預設密碼。
- 啟用防火牆等安全機制。
- 企業可以主動監視系統和網路的異常活動,對網路周邊的各層面加上安全防護,並且採取對策(如在網站管理時使用HTTPS之類更加安全的通訊協定)。
@原文出處:Over 200,000 MikroTik Routers Compromised in Cryptojacking Campaign