攻击者如何使用虚假浏览器更新攻击MikroTik路由器

2023-12-02 07:39:50 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

概述

MikroTik是一家拉脱维亚公司生产的路由器和ISP无线系统，在过去几个月中，该产品一直在应对其操作系统存在的数个安全漏洞。自2018年4月下旬研究人员发现RouteOS中存在一个严重漏洞（ https://forum.mikrotik.com/viewtopic.php?t=133533 ）以来，针对该产品的攻击一直在以惊人的增长速度发生。更糟糕的是，随着CVE-2018-14847漏洞利用方法（ https://www.exploit-db.com/exploits/45578/ ）的出现，产品遭受到了更为猛烈的攻击。

尽管厂商已经发布了安全补丁程序，但目前仍有大量MikroTik路由器没有更新补丁，并且被攻击者成功攻陷，这样一来就产生了严重的安全问题。攻击者根据概念证明（PoC）代码，在短时间内迅速攻陷了数十万台设备。在去年夏天，SpiderLabs的研究人员通过被入侵后的MikroTik设备，发现了可能是迄今为止最大规模的Coinhive恶意活动（ https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/ ），现在这一恶意活动的覆盖范围可能更加广泛。

通过最新的攻击方法，被感染的路由器可以向用户展示一个虚假的浏览器更新页面。当用户运行此恶意更新时，会将恶意代码解压缩到计算机上。随后，被感染计算机将在网络上执行扫描，发现其他存在漏洞的路由器，并尝试对它们进行漏洞利用。

可疑的浏览器更新

安全研究员@VriesHd率先发现了一种新的恶意活动（ https://twitter.com/VriesHd/status/1049775664235208706 ），攻击者试图利用典型的社会工程学技术，尝试进一步攻陷存在漏洞的路由器。假如网络供应商存在受感染的MikroTik路由器，那么就会将终端用户的合法请求跳转到一个写着“旧版浏览器”的重定向页面：

根据Censys的调查结果（ https://censys.io/ipv4?q=%22During+the+opening+of+the+site%22+AND+%22MikroTik+Device%22 ），现在有大约11000个被感染的MikroTik设备上托管了这一假冒的下载页面：

可疑浏览器更新文件将会从指定FTP服务器下载，如下所示：

有意思的是，这一IP地址也作为免费公开的Web代理在网络上发布。一些希望绕过某些国家或地区网络限制的用户（例如，不在美国的用户想要观看美国版的Netflix），或者是希望隐藏自己真实IP地址的用户，通常会使用代理。

Payload分析

行为分析

Payload将自己伪装成一个名为updbrowser的安装程序。

当我们运行恶意安装程序时，会弹出一个错误提示。

![]( https://blog.malwarebytes.com/wp-content/uploads/2018/10/error_popup.png)

然而，如果我们在这时对网络流量进行捕获，可以看到它实际上在后台扫描各种IP地址，并尝试连接8291端口（通过Winbox应用程序管理MicroTik路由器的默认端口）：

脱壳过程

投放的Payload是一个相对较大的可执行文件（文件大小为7.25MB）。经过分析，其头部内容及可视化视图如下：

我们通过其名称上的特征，发现该恶意软件使用了一个流行且简单的加壳工具UPX（ https://upx.github.io/ ）进行加壳。根据其叠加的大小判断，该文件中还包含更多需要提取的内容。经过进一步分析，发现该恶意软件会将Python DLL和其他相关文件解压到%TEMP%文件夹中，然后对它们进行加载。由此，很容易猜测这个EXE实际上是一个经过包装后的Python脚本。我们可以参考这里的步骤对其进行脱壳： https://hshrzd.wordpress.com/2018/01/26/solving-a-pyinstaller-compiled-crackme/ 。

入口点位于名为upd_browser的脚本中。在对脚本进行反编译和跟踪之后，我们有两个Python脚本是该恶意软件的核心，分别是upd_browser.py和ups.py。

深入分析脚本

该脚本模块中的main函数（ https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4 ）比较简单：

如我们所见，弹出的错误提示是硬编码的（ https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4 ）。也就是说，它并不是一个实际发生的错误，而是一个掩人耳目的手段。

在弹出错误提示之后，恶意软件通过查询跟踪器的硬编码地址，来记录被感染设备的IP地址，这一跟踪器实际上利用了合法服务IP Logger。该跟踪器使用了一个像素大小的图像形式进行记录：

此后，会在预先定义好的指定时间间隔后，重复查询该地址。

最关键的操作是在名为scan的函数（ https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4 ）中执行的，该函数部署在多个并行线程中（最大线程数定义为thmax=600）。函数scan会生成伪随机IP地址，并尝试通过上文所述的8291端口连接这些地址。如果连接成功，那么就会在56778-56887端口范围内随机尝试进行另一个连接。如果失败，那么就继续漏洞利用过程：

函数poc（ https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4 ）的作用是利用已知漏洞感染路由器。该函数首先尝试利用路径遍历漏洞（CVE-2018-14847）来检索被感染主机上的凭据：

user.dat文件应为M2格式，因此脚本附带一个内置的解析器（也就是loadfile函数， https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4 ）：

如果从user.dat文件中成功检索到密码，就会解密凭据，并使用该凭据来创建后门：一个管理员账户，其密码是随机生成的。此外，还设置了路由器执行的计划任务。

调度程序中设置的脚本，是根据硬编码的模板（ https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4 ）生成的。在这里，我们提供了整理后的版本： https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4 。该脚本的作用是，修改路由器的配置，并且设置能加载CoinHive挖矿程序的错误页面。

错误页面可能位于以下两个位置：webproxy/error.html或flash/webproxy/error.html。

两个错误页面的内容如下：

https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4-L42

https://gist.github.com/malwarezone/e437bb06d0d19a2d02ffd98cffe2b2c4-L43

只要用户访问了拒绝访问的URL，就会向用户显示这样的错误页面。但是，经过对路由器中配置的恶意脚本进行分析，我们发现基本上任何HTTP请求都会产生错误。然而，由于这一错误页面的目的是针对原始流量实现欺骗，因此请求的页面会显示为iframe。因此，用户依然可以正常浏览大部分网页，而不会注意到有异常之处。例如：

![]( https://blog.malwarebytes.com/wp-content/uploads/2018/10/coinhive.png)

CoinHive挖矿程序是嵌入式的，因此在这段时间内，被感染主机将被用于挖矿。