窃听风云: 你的MikroTik路由器正在被监听

发布日期:2018-09-06 浏览次数: 3978 次
背景介绍
 
MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年,MikroTik创建了RouterOS软件系统,在2002年,MikroTik决定制造自己的硬件并创建了RouterBOARD品牌,每个RouterBOARD设备都运行RouterOS软件系统。
 
根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用,其中包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。
 
Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。
 
通过360Netlab Anglerfish蜜罐系统,我们观察到恶意软件正在利用MikroTik CVE-2018-14847漏洞植入CoinHive挖矿代码,启用Socks4代理,监听路由器网络流量等。同时我们也看到业界已有部分关于CoinHive挖矿和Socks4代理披露,其中包括《BOTNET KAMPANJA NAPADA MIKROTIK USMJERIVA?E》[5] 和《Mass MikroTik Router Infection – First we cryptojack Brazil, then we take the World?》
 
从2018-08-09至今,我们对CVE-2018-14847在全网的分布和利用做了多轮精确度量。每次发起度量时,我们严格遵循Winbox协议发起通信,因此可以精确确认通信对端就是MikroTik 路由器,并且能够准确判定这些路由器是否失陷、以及失陷后被利用做了什么。考虑到MikroTik设备的IP地址会动态更新,本文根据2018-08-23~2018-08-24的扫描数据做分析,并披露一些攻击数据。
 
脆弱性分布
 
通过对全网TCP/8291端口扫描分析,发现开放该端口的IP数为5,000k,有1,200k确认为Mikrotik设备。其中有 370k(30.83%) 存在CVE-2018-14847漏洞。

 
以下是Top 20 国家统计列表(设备数量、国家)。
 

 
被植入CoinHive挖矿代码
 
攻击者在启用MikroTik RouterOS http代理功能后,使用了一些技巧,将所有的HTTPProxy请求重定向到一个本地的HTTP 403 error.html 页面。在这个页面中,攻击者嵌入了一个来自 CoinHive.com 的挖矿代码链接。通过这种方式,攻击者希望利用所有经过失陷路由器上HTTP代理的流量来挖矿牟利。
 

 
然而实际上这些挖矿代码不会有效工作。这是因为所有的外部Web资源,包括哪些挖矿所必须的来自CoinHive.com的代码,都会被攻击者自己设定访问控制权限所拦截。下面是一个示例。


 
被95.154.216.128/25启用Socks4代理
 
目前,我们共检测到 239K 个IP被恶意启用Socks4代理,Socks4端口一般为TCP/4153,并设置Socks4代理只允许95.154.216.128/25访问 (这里的权限控制是通过socks代理程序完成,防火墙不会屏蔽任意IP对TCP/4153端口的请求)。
 
因为MikroTik RouterOS设备会更新IP地址,攻击者设置了定时任务访问攻击者指定的URL以此获取新的IP地址。此外,攻击者还通过这些失陷的Socks4代理继续扫描更多的MikroTik RouterOS设备。
 

 
网络流量被监听
 
MikroTik RouterOS设备允许用户在路由器上抓包,并把捕获的网络流量转发到指定Stream服务器。
 
目前共检测到 7.5k MikroTik RouterOS设备IP已经被攻击者非法监听,并转发TZSP流量到指定的IP地址,通信端口UDP/37008。
 
37.1.207.114 在控制范围上显著区别于其他所有攻击者。该IP监听了大部分MikroTik RouterOS设备,主要监听TCP协议20,21,25,110,143端口,分别对应FTP-data,FTP,SMTP,POP3,IMAP协议流量。这些应用协议都是通过明文传输数据的,攻击者可以完全掌握连接到该设备下的所有受害者的相关网络流量,包括FTP文件,FTP账号密码,电子邮件内容,电子邮件账号密码等。以下是packet-sniffer页面示例。
 

 
185.69.155.23 是另外一个有意思的攻击者,他主要监听TCP协议110, 143, 21端口以及UDP协议161,162端口。161/162代表了SNMP(简单网络管理协议,Simple Network Management Protocol),能够支持网络管理系统,用以监测连接到网络上的设备)。[8] 因此,攻击者通过监听SNMP可以得到整个内部网络上的所有连接设备信息。
 
以下是Top攻击者统计列表(曾经控制设备数量、攻击者IP)。
 

 
以下是所有攻击者Top监听端口统计列表。


 
通过对受害者IP分析,其中俄罗斯受影响较严重。以下是受害者Top分布统计列表。全部的受害者IP地址,不会向公众公布。各受影响国家的相关安全和执法机构,可以向我们联系索取对应的IP地址列表。


 
处置建议
 
由CVE-2018-14847导致的安全风险远不止于此,我们已经看到MikroTik RouterOS已经被诸多攻击者恶意利用,我们也相信还会有更多的攻击者和攻击手段继续参与进来。
 
我们建议MikroTik RouterOS用户及时更新软件系统,同时检测http代理,Socks4代理和网络流量抓包功能是否被攻击者恶意利用。
 
我们建议MikroTik厂商禁止向互联网开放Webfig和Winbox端口,完善软件安全更新机制。
 
相关安全和执法机构,可以邮件联系netlab@360.cn获取被感染的IP地址列表。
 
联系我们
 
感兴趣的读者,可以在 twitter 或者在微信公众号 360Netlab 上联系我们。
 
IoC
 


 
分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图