20多萬台MikroTik路由器被黑，用戶被迫扛起鋤頭挖礦

研究人員發現20 多萬台MikroTik路由器被黑客接管，讓用戶不知不覺中為他們挖礦。

近日，安全研究人員發現了一場針對MikroTik路由器的大規模惡意劫持活動，利用Mikrotik企業路由器中的一個已知漏洞來接管路由器，向用戶訪問的頁面注入Coinhive挖礦腳本。用戶打開該網頁後即開始挖掘門羅幣，而挖礦所得將轉發至黑客的賬戶地址。

Trustwave SpiderLabs的安全研究員Simon Kenin表示，攻擊的首先從巴西開始，第一階段即感染了約72000台MikroTik路由器。

隨後，這場惡意攻擊迅速波及到全球20多萬台MikroTik路由器，本文截稿時，這一數字仍在增長。

攻擊方式

本次攻擊利用了MikroTik於今年4月23日修補的零日漏洞，雖然MikroTik修復該漏洞前後只用了一天，但還有成千上萬的MikroTik路由器未能及時打上補丁，導致黑客乘虛而入。

該漏洞使得黑客能夠通過Winbox從設備讀取文件，獲得對MikroTik路由器的未經身份驗證的遠程管理員訪問許可權。初步調查顯示，黑客並不是在路由器上運行惡意可執行文件，而是通過路由器功能推送包含Coinhive挖礦腳本的自定義錯誤頁面。

以下是Simon Kenin的分析：

首先，在Shodan 搜索引擎上看到的所有頁面實際上都是webproxy錯誤頁面，可見黑客創建了一個包含Coinhive腳本的自定義錯誤頁面：

黑客在文件系統中創建了一個自定義的錯誤頁面

該頁面包含的內容

經過測試和Reddit用戶的報告，會發生兩種情況：

接入到該路由器的用戶，只要用戶在瀏覽網頁時跳轉到任何類型的錯誤頁面，都會打開這個包含Coinhive挖礦腳本的自定義錯誤頁面。

如果後端本地伺服器也連接到路由器，只要用戶連接到了這個伺服器，哪怕沒有直接連接到受感染路由器，也會受到影響。

而根據Reddit上一些用戶的報告，他們在瀏覽網頁時，每個網頁都被注入了Coinhive挖礦代碼。

得知該信息後，Simon Kenin進一步調查發現了另外一個腳本：

「script3

」腳本_

用戶一連上路由器，腳本就開動了

從上圖中可以看到，用戶一連接到無線網路，腳本立即執行。

由於伺服器上沒有mikrotik.php文件，因此該文件內容未知。它可能是用於將Coinhive挖礦代碼注入每個html頁面的腳本，至於如何實現，在本調查中也未能揭示，只能說這些黑客對於MikroTik路由器配置有著極深的理解。

為什麼這麼說？請看以下截圖，揭示了該攻擊的持續機制：

黑客添加的後台任務

一共有兩個任務：

連接到另一台主機「min01.com」，並獲取一個新的「error.html」文件。這是為了Coinhive平台屏蔽了黑客當前使用的站點密鑰後，使用另一個站點密鑰來替換它。

下載並執行為名為「u113.rsc」的腳本。目前可以看到該腳本僅用於佔位，但這一看就知道是向所有被接管的設備發送附加命令的一種途徑。

在編譯本文時看到的腳本內容

在調查過程中，Simon Kenin還確定了黑客在尋找新的包含該漏洞的路由器時使用的腳本：

路由器受到感染時執行的命令

我們可以看到該腳本修改了一些系統設置、啟用了代理、獲取了自定義錯誤頁面，並根據需要創建了更新的計劃任務，最後還創建了名為「ftu」的後門帳戶。

這個腳本正不斷添加更多清理命令，進一步降低佔用空間並減少將Coinhive挖礦代碼注入每個網頁時產生的線索，最終降低被檢測的風險。

越來越小心的黑客

從大張旗鼓的加密勒索軟體，到現在隱藏在信息流里的挖礦代碼，黑客的思維方式也從一鎚子買賣轉向了更長久的非法利益。

在海量的網頁中注入Coinhive挖礦代碼不可能不被發現，越來越多用戶的怒火必然會推動用戶自己和ISP調查問題的根源。安全研究員Simon Kenin在進行調查時，只在路由器返回的錯誤頁面中發現了注入的Coinhive腳本，這說明其他用戶在網路上提出問題之後，黑客切換了策略，縮小攻擊面的同時提升了攻擊的量級，即僅在錯誤頁面注入挖礦代碼，感染更多的MikroTik路由器。但由於部署MikroTik路由器的企業數量巨大，包含該挖礦代碼的頁面的出現次數仍可達到數百萬次。

在管理員為路由器打上補丁之前，這場攻擊仍將繼續，Freebuf小編將持續關注並為大家更新信息，也請使用MikroTik路由器的小夥伴趕緊自查起來。

參考來源：The Register ，FB小編Freddy編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！