走近科学:窥探家庭网络的恶意木马

  • A+
所属分类:WEB安全

近几年,我们已经看到了很多关于家庭路由器遭受攻击的报道。攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点,其他的攻击方式还包括植入后门和DNS劫持。在这些攻击中,攻击者针对家庭网络的攻击意图和目的表现得非常明显。

恶意软件攻击流程

本文分析了一个名为TROJ_VICEPASS.A的恶意软件。首先,它会伪装成网站上的一个AdobeFlash更新文件,并诱导访问者下载并安装。一旦被执行,它将试图连接家庭路由器,并搜索网络中所有的联网设备。然后,它会利用预先准备的账号和密码尝试登录这些联网设备,并获取敏感数据;最后,它将偷窃的数据发送至远程服务器,然后将自己从电脑上删除。

图1是该恶意软件的感染流程图。

图1恶意软件感染链

深入分析

当访问恶意网站时,如果这些网站已被植入假的Flash更新文件,那么用户将很可能遇到恶意软件TROJ_VICEPASS.A。通常情况下,网站会建议访问者下载并安装这个Flash更新文件。

图2 被植入假的AdobeFlash更新文件的站点

图3假的Flash更新

一旦恶意软件被执行,它将试图使用一个预先准备的用户名和密码列表,通过管理控制台连接到路由器。如果连接成功,恶意软件会试图扫描整个网络来寻找所有已连接的设备。

 图4搜索连接的设备

恶意软件使用的用户名列表:

admin
Admin
administrator
Administrator
bbsd-client
blank
cmaker
d-link
D-Link
guest
hsa
netrangr
root
supervisor
user
webadmin
wlse

恶意软件使用的密码列表:

_Cisco
0000
000000
1000
1111
111111
1111111
11111111
111111111
112233
1212
121212
123123
123123Aa
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234qwer
123ewq
123qwe
131313
159753
1q2w3e4r
1q2w3e4r5t
1q2w3e4r5t6y7u8i9o0p
1qaz2wsx
2000
2112
2222
222222
232323
321123
321321
3333
4444
654321
666666
6969
7777
777777
7777777
88888888
987654
987654321
999999999
abc123
abc123
abcdef
access
adm
admin
Admin
Administrator
alpine
Amd
angel
asdfgh
attack
baseball
batman
blender
career
changeme
changeme2
Cisco
cisco
cmaker
connect
default
diamond
D-Link
dragon
ewq123
ewq321
football
gfhjkm
god
hsadb
ilove
iloveyou
internet
Internet
jesus
job
killer
klaster
letmein
link
marina
master
monkey
mustang
newpass
passwd
password
password0
password1
pepper
pnadmin
private
public
qazwsx
qwaszx
qwe123
qwe321
qweasd
qweasdzxc
qweqwe
qwerty
qwerty123
qwertyuiop
ripeop
riverhead
root
secret
secur4u
sex
shadow
sky
superman
supervisor
system
target123
the
tinkle
tivonpw
user
User
wisedb
work
zaq123wsx
zaq12wsx
zaq1wsx
zxcv
zxcvb
zxcvbn
zxcvbnm

需要指出的是,恶意软件使用HTTP协议来扫描并搜寻联网设备,扫描的IP地址范围是192.168.[0-6].0—192.168.[0-6].11,这些IP地址一般都会用作路由器IP地址。搜索路由器的打印日志如下所示:

Find router IP address – start
Searching in 192.168.0.0 – 192.168.0.11
[0] connect to 192.168. 0.0
URL: ‘192.168.0.0’, METHOD: ‘1’, DEVICE: ‘Apple’
…. (skip)
Find router IP address – end

我们注意到恶意软件会检测苹果设备,例如iPhone和iPad,而它们设备并没有开放的HTTP端口。然而,需要注意的是,从这些字符串可以看出,它更加关注路由器。我们发现恶意软件使用以下名字搜索路由器等设备:

dlink
d-link
laserjet
apache
cisco
gigaset
asus
apple
iphone
ipad
logitech
samsung
xbox

 图5搜索苹果设备

一旦恶意软件对网络中的设备搜索结束,它会利用base64编码和一个自定义的加密算法对搜索结果加密。然后,通过HTTP协议将加密后的结果发送到一个远程C&C服务器。

图6加密搜索结果

 图7发送结果到C&C服务器

恶意软件成功发送结果之后,就从受害者电脑上自我删除,并清除它的任何踪迹。攻击者使用下面的命令来实现这些操作:

exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s” 相关文件哈希:

a375365f01fc765a6cf7f20b93f13364604f2605 猜测:可能是攻击活动的“先行军”

根据恶意软件的行为可猜测,它可能只是攻击者用来收集情报的先行部队,这些信息很可能会被用来发动一场大型恶意活动。收集来的信息可能会被存储并用作以后的跨站请求伪造(CSRF)等攻击,因为如果攻击者手中已经有了特定IP的登录凭证,那么以后的攻击将变得更加容易。当然,我们并不十分确定,但是考虑到该恶意软件的执行流程以及行为表现,这似乎是最有可能发生的场景。

安全建议

无论攻击者的最终目标是什么,这个恶意软件都向我们展示了设备安全的重要性,即使那些不太可能成为目标的设备也需要关注其安全。所以,用户应该经常修改路由器的登录凭证,最好设置成强密码。此外,用户还可以选择密码管理软件来帮助他们管理所有的密码。

除了良好的密码习惯,用户还应该永远记住其他的安全措施。例如,他们应该尽可能避免点击邮件中的不明链接。如果他们需要访问一个站点,最好直接输入网址或者使用一个书签。如果他们的软件需要升级,那么可以直接访问软件的官方网站去下载。此外,也可以选择设定软件自动安装更新。最后,用户应该采取安全措施来保护他们的设备。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: