近幾年，我們已經(jīng)看到了很多關(guān)于家庭路由器遭受攻擊的報(bào)道。攻擊路由器的惡意軟件會(huì)將用戶的上網(wǎng)訪問重定向到各種惡意站點(diǎn)，其他的攻擊方式還包括植入后門和DNS劫持。在這些攻擊中，攻擊者針對(duì)家庭網(wǎng)絡(luò)的攻擊意圖和目的表現(xiàn)得非常明顯。

惡意軟件攻擊流程

本文分析了一個(gè)名為TROJ_VICEPASS.A的惡意軟件。首先，它會(huì)偽裝成網(wǎng)站上的一個(gè)Adobe Flash更新文件，并誘導(dǎo)訪問者下載并安裝。一旦被執(zhí)行，它將試圖連接家庭路由器，并搜索網(wǎng)絡(luò)中所有的聯(lián)網(wǎng)設(shè)備。然后，它會(huì)利用預(yù)先準(zhǔn)備的賬號(hào)和密碼嘗試登錄這些聯(lián)網(wǎng)設(shè)備，并獲取敏感數(shù)據(jù)；最后，它將偷竊的數(shù)據(jù)發(fā)送至遠(yuǎn)程服務(wù)器，然后將自己從電腦上刪除。

圖1是該惡意軟件的感染流程圖。

圖1 惡意軟件感染鏈

深入分析

當(dāng)訪問惡意網(wǎng)站時(shí)，如果這些網(wǎng)站已被植入假的Flash更新文件，那么用戶將很可能遇到惡意軟件TROJ_VICEPASS.A。通常情況下，網(wǎng)站會(huì)建議訪問者下載并安裝這個(gè)Flash更新文件。

圖2 被植入假的Adobe Flash更新文件的站點(diǎn)

[[129888]]

圖3 假的Flash更新

一旦惡意軟件被執(zhí)行，它將試圖使用一個(gè)預(yù)先準(zhǔn)備的用戶名和密碼列表，通過管理控制臺(tái)連接到路由器。如果連接成功，惡意軟件會(huì)試圖掃描整個(gè)網(wǎng)絡(luò)來尋找所有已連接的設(shè)備。

圖4 搜索連接的設(shè)備

惡意軟件使用的用戶名列表：

admin
Admin
administrator
Administrator
bbsd-client
blank
cmaker
d-link
D-Link
guest
hsa
netrangr
root
supervisor
user
webadmin
wlse

惡意軟件使用的密碼列表：

_Cisco
0000
000000
1000
1111
111111
1111111
11111111
111111111
112233
1212
121212
123123
123123Aa
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234qwer
123ewq
123qwe
131313
159753
1q2w3e4r
1q2w3e4r5t
1q2w3e4r5t6y7u8i9o0p
1qaz2wsx
2000
2112
2222
222222
232323
321123
321321
3333
4444
654321
666666
6969
7777
777777
7777777
88888888
987654
987654321
999999999
abc123
abc123
abcdef
access
adm
admin
Admin
Administrator
alpine
Amd
angel
asdfgh
attack
baseball
batman
blender
career
changeme
changeme2
Cisco
cisco
cmaker
connect
default
diamond
D-Link
dragon
ewq123
ewq321
football
gfhjkm
god
hsadb
ilove
iloveyou
internet
Internet
jesus
job
killer
klaster
letmein
link
marina
master
monkey
mustang
newpass
passwd
password
password0
password1
pepper
pnadmin
private
public
qazwsx
qwaszx
qwe123
qwe321
qweasd
qweasdzxc
qweqwe
qwerty
qwerty123
qwertyuiop
ripeop
riverhead
root
secret
secur4u
sex
shadow
sky
superman
supervisor
system
target123
the
tinkle
tivonpw
user
User
wisedb
work
zaq123wsx
zaq12wsx
zaq1wsx
zxcv
zxcvb
zxcvbn
zxcvbnm

需要指出的是，惡意軟件使用HTTP協(xié)議來掃描并搜尋聯(lián)網(wǎng)設(shè)備，掃描的IP地址范圍是192.168.[0-6].0—192.168.[0-6].11，這些IP地址一般都會(huì)用作路由器IP地址。搜索路由器的打印日志如下所示：

Find router IP address – start
Searching in 192.168.0.0 – 192.168.0.11
[0] connect to 192.168. 0.0
URL: ‘192.168.0.0’, METHOD: ‘1’, DEVICE: ‘Apple’
…. (skip)
Find router IP address – end

我們注意到惡意軟件會(huì)檢測蘋果設(shè)備，例如iPhone和iPad，而它們?cè)O(shè)備并沒有開放的HTTP端口。然而，需要注意的是，從這些字符串可以看出，它更加關(guān)注路由器。我們發(fā)現(xiàn)惡意軟件使用以下名字搜索路由器等設(shè)備：

dlink
d-link
laserjet
apache
cisco
gigaset
asus
apple
iphone
ipad
logitech
samsung
xbox

圖5 搜索蘋果設(shè)備

一旦惡意軟件對(duì)網(wǎng)絡(luò)中的設(shè)備搜索結(jié)束，它會(huì)利用base64編碼和一個(gè)自定義的加密算法對(duì)搜索結(jié)果加密。然后，通過HTTP協(xié)議將加密后的結(jié)果發(fā)送到一個(gè)遠(yuǎn)程C&C服務(wù)器。

圖6 加密搜索結(jié)果

圖7 發(fā)送結(jié)果到C&C服務(wù)器

惡意軟件成功發(fā)送結(jié)果之后，就從受害者電腦上自我刪除，并清除它的任何蹤跡。攻擊者使用下面的命令來實(shí)現(xiàn)這些操作：

exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”

相關(guān)文件哈希：

a375365f01fc765a6cf7f20b93f13364604f2605

猜測：可能是攻擊活動(dòng)的“先行軍”

根據(jù)惡意軟件的行為可猜測，它可能只是攻擊者用來收集情報(bào)的先行部隊(duì)，這些信息很可能會(huì)被用來發(fā)動(dòng)一場大型惡意活動(dòng)。收集來的信息可能會(huì)被存儲(chǔ)并用作以后的跨站請(qǐng)求偽造(CSRF)等攻擊，因?yàn)槿绻粽呤种幸呀?jīng)有了特定IP的登錄憑證，那么以后的攻擊將變得更加容易。當(dāng)然，我們并不十分確定，但是考慮到該惡意軟件的執(zhí)行流程以及行為表現(xiàn)，這似乎是最有可能發(fā)生的場景。

安全建議

無論攻擊者的最終目標(biāo)是什么，這個(gè)惡意軟件都向我們展示了設(shè)備安全的重要性，即使那些不太可能成為目標(biāo)的設(shè)備也需要關(guān)注其安全。所以，用戶應(yīng)該經(jīng)常修改路由器的登錄憑證，最好設(shè)置成強(qiáng)密碼。此外，用戶還可以選擇密碼管理軟件來幫助他們管理所有的密碼。

除了良好的密碼習(xí)慣，用戶還應(yīng)該永遠(yuǎn)記住其他的安全措施。例如，他們應(yīng)該盡可能避免點(diǎn)擊郵件中的不明鏈接。如果他們需要訪問一個(gè)站點(diǎn)，最好直接輸入網(wǎng)址或者使用一個(gè)書簽。如果他們的軟件需要升級(jí)，那么可以直接訪問軟件的官方網(wǎng)站去下載。此外，也可以選擇設(shè)定軟件自動(dòng)安裝更新。最后，用戶應(yīng)該采取安全措施來保護(hù)他們的設(shè)備。