最近趨勢科技發現了一隻針對Netgear路由器的惡意軟體 – RouterX,它會利用遠端存取和命令執行漏洞(CVE-2016-10176)進行攻擊。RouteX會將受感染路由器轉變成SOCKS代理伺服器,限制只有攻擊能存取設備。RouteX還能夠讓攻擊者進行憑證填充(Credential Stuffing)攻擊,這是利用竊來的憑證對使用者帳號進行非法存取的網頁注入攻擊。據報導這些攻擊針對的是財富500強企業。
CVE-2016-10176是出現在特定Netgear路由器和數據機路由器的安全漏洞,一旦攻擊成功就可以攻擊者遠端存取設備。還可以讓駭客回復設備密碼並執行命令。這個漏洞的韌體/軟體修補程式早在2017年1月就已經釋出。
[相關資訊:Netgear漏洞提醒了企業跟家庭都需要注重路由器安全]
透過將受感染設備轉變為SOCKS代理伺服器,可以用來重導攻擊者和目標間的網路流量。這不僅替駭客提供了進一步攻擊的跳板,而且還可以混淆網路犯罪活動的真正來源讓駭客匿名化。
這手法並不新鮮。Android惡意軟體(如MilkyDoor和DressCode)會利用SOCKS協定透過中毒手機連進企業內部網路。甚至是物聯網(IoT)惡意軟體如TheMoon會感染IP攝影機出現類似的行為。RouteX的不同處在於設置SOCKS代理程式後,它會加入Linux防火牆規則來防止其他惡意軟體利用同一個漏洞,並將可連上路由器的位置限制在可能受攻擊者控制的某些IP位址。 繼續閱讀