2016年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。請參考:專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!
近日一名安全研究人員據報發現一隻Mirai的新變種(趨勢科技確定屬於ELF_MIRAI病毒家族)正在迅速擴散。在11月底觀察到了端口2323和23的流量顯著地增加,其中約10萬筆不重複的掃描IP來自阿根廷。
被公布在公開漏洞資料庫的概念證明(PoC)漏洞攻擊碼被認為引發了Mirai殭屍網路活動的增加。10月31日公佈漏洞攻擊碼後,這些掃描在11月22日就使用了概念證明(PoC)程式碼。這概念證明(PoC)程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。 繼續閱讀
最近趨勢科技發現了一隻針對Netgear路由器的惡意軟體 – RouterX,它會利用遠端存取和命令執行漏洞(CVE-2016-10176)進行攻擊。RouteX會將受感染路由器轉變成SOCKS代理伺服器,限制只有攻擊能存取設備。RouteX還能夠讓攻擊者進行憑證填充(Credential Stuffing)攻擊,這是利用竊來的憑證對使用者帳號進行非法存取的網頁注入攻擊。據報導這些攻擊針對的是財富500強企業。
CVE-2016-10176是出現在特定Netgear路由器和數據機路由器的安全漏洞,一旦攻擊成功就可以攻擊者遠端存取設備。還可以讓駭客回復設備密碼並執行命令。這個漏洞的韌體/軟體修補程式早在2017年1月就已經釋出。
[相關資訊:Netgear漏洞提醒了企業跟家庭都需要注重路由器安全]
透過將受感染設備轉變為SOCKS代理伺服器,可以用來重導攻擊者和目標間的網路流量。這不僅替駭客提供了進一步攻擊的跳板,而且還可以混淆網路犯罪活動的真正來源讓駭客匿名化。
這手法並不新鮮。Android惡意軟體(如MilkyDoor和DressCode)會利用SOCKS協定透過中毒手機連進企業內部網路。甚至是物聯網(IoT)惡意軟體如TheMoon會感染IP攝影機出現類似的行為。RouteX的不同處在於設置SOCKS代理程式後,它會加入Linux防火牆規則來防止其他惡意軟體利用同一個漏洞,並將可連上路由器的位置限制在可能受攻擊者控制的某些IP位址。 繼續閱讀
還記得這篇大約 2014 年所發表的j文章嗎?
這篇文章指出了中國 Netis 品牌路由器在韌體當中暗藏了一個遭到嚴重利用的後門漏洞。以下是有關該漏洞情況的最新發展,以及一個您最近或許經常看到經常被觸發的 TippingPoint Digital Vaccine (DV) 數位疫苗過濾規則。
這個第 32391 號 DV 過濾規則是用來檢查是否有人試圖掃瞄這個後門漏洞,而這條規則直到最近都還經常被觸發,這顯示仍有大量試圖利用這個後門的網路攻擊。基本上,這條規則誤判的可能性為零。根據我們所的 ThreatLinQ 通報儀表板顯示,這條規則從 2016 年 8 月釋出以來已觸發了將近 290 萬次。不過,這數字只涵蓋了大約 5% 的客戶端觸發數量,因此可推算出我們全體客戶的觸發數量大約在 5,700 萬次之譜。
我們分析了一些從 TippingPoint 裝置擷取到的封包,到目前為止每一個樣本都沒有誤判,正如我們所料。以下是我們架設的 Lighthouse (燈塔) 誘捕環境所觀察到 IP 位址惡意掃瞄最頻繁的網域:
下圖是其中一個掃瞄封包在 Wireshark 工具中展開的樣子: 繼續閱讀