★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

窥探家庭网络的恶意木马

[复制链接]
发表于 2015-3-19 00:04:29 | 显示全部楼层 |阅读模式

近几年,我们已经看到了很多关于家庭路由器遭受攻击的报道。攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点,其他的攻击方式还包括植入后门和DNS劫持。在这些攻击中,攻击者针对家庭网络的攻击意图和目的表现得非常明显。

恶意软件攻击流程

本文分析了一个名为 TROJ_VICEPASS.A 的恶意软件。首先,它会伪装成网站上的一个Adobe Flash更新文件,并诱导访问者下载并安装。一旦被执行,它将试图连接家庭路由器,并搜索网络中所有的联网设备。然后,它会利用预先准备的账号和密码尝试登录这些联网设备,并获取敏感数据;最后,它将偷窃的数据发送至远程服务器,然后将自己从电脑上删除。

图1是该恶意软件的感染流程图。

a2aIVra.jpg

图1 恶意软件感染链

深入分析

当访问恶意网站时,如果这些网站已被植入假的Flash更新文件,那么用户将很可能遇到恶意软件TROJ_VICEPASS.A。通常情况下,网站会建议访问者下载并安装这个Flash更新文件。

FnMJNf.jpg

图2 被植入假的Adobe Flash更新文件的站点

ieMZryf.jpg

图3 假的Flash更新

一旦恶意软件被执行,它将试图使用一个预先准备的用户名和密码列表,通过管理控制台连接到路由器。如果连接成功,恶意软件会试图扫描整个网络来寻找所有已连接的设备。

rMf2qab.jpg

图4 搜索连接的设备

恶意软件使用的用户名列表:


  1. admin
  2. Admin
  3. administrator
  4. Administrator
  5. bbsd-client
  6. blank
  7. cmaker
  8. d-link
  9. D-Link
  10. guest
  11. hsa
  12. netrangr
  13. root
  14. supervisor
  15. user
  16. webadmin
  17. wlse
复制代码


恶意软件使用的密码列表:

_
  1. <blockquote>0000
复制代码

需要指出的是,恶意软件使用HTTP协议来扫描并搜寻联网设备,扫描的IP地址范围是192.168.[0-6].0—192.168.[0-6].11,这些IP地址一般都会用作路由器IP地址。搜索路由器的打印日志如下所示:

  1. Find router IP address – start
  2. Searching in 192.168.0.0 – 192.168.0.11
  3. [0] connect to 192.168. 0.0
  4. URL: ‘192.168.0.0’, METHOD: ‘1’, DEVICE: ‘Apple’
  5. …. (skip)
  6. Find router IP address – end
复制代码

我们注意到恶意软件会检测苹果设备,例如iPhone和iPad,而它们设备并没有开放的HTTP端口。然而,需要注意的是,从这些字符串可以看出,它更加关注路由器。我们发现恶意软件使用以下名字搜索路由器等设备:

  1. dlink
  2. d-link
  3. laserjet
  4. apache
  5. cisco
  6. gigaset
  7. asus
  8. apple
  9. iphone
  10. ipad
  11. logitech
  12. samsung
  13. xbox
复制代码


n2AF7bV.jpg

图5 搜索苹果设备

一旦恶意软件对网络中的设备搜索结束,它会利用 base64 编码和一个自定义的加密算法对搜索结果加密。然后,通过HTTP协议将加密后的结果发送到一个远程C&C服务器。

UzI7j2v.jpg

图6 加密搜索结果

A3MV7b.jpg

图7 发送结果到C&C服务器

恶意软件成功发送结果之后,就从受害者电脑上自我删除,并清除它的任何踪迹。攻击者使用下面的命令来实现这些操作:

exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s

相关文件哈希:

a375365f01fc765a6cf7f20b93f13364604f2605猜测:可能是攻击活动的“先行军”

根据恶意软件的行为可猜测,它可能只是攻击者用来收集情报的先行部队,这些信息很可能会被用来发动一场大型恶意活动。收集来的信息可能会被存储并用作以后的跨站请求伪造(CSRF)等攻击,因为如果攻击者手中已经有了特定IP的登录凭证,那么以后的攻击将变得更加容易。当然,我们并不十分确定,但是考虑到该恶意软件的执行流程以及行为表现,这似乎是最有可能发生的场景。

安全建议

无论攻击者的最终目标是什么,这个恶意软件都向我们展示了设备安全的重要性,即使那些不太可能成为目标的设备也需要关注其安全。所以,用户应该经常修改路由器的登录凭证,最好设置成强密码。此外,用户还可以选择密码管理软件来帮助他们管理所有的密码。

除了良好的密码习惯,用户还应该永远记住其他的安全措施。例如,他们应该尽可能避免点击邮件中的不明链接。如果他们需要访问一个站点,最好直接输入网址或者使用一个书签。如果他们的软件需要升级,那么可以直接访问软件的官方网站去下载。此外,也可以选择设定软件自动安装更新。最后,用户应该采取安全措施来保护他们的设备。


相关帖子

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-12-23 19:17 , Processed in 0.067845 second(s), 26 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表