路由器安全成为网络威胁

发布时间:2020-07-09 21:06:57   来源:网络


小型办公室/家庭办公室(SOHO)路由器安全近来成为热门话题。对于那些不熟悉这种情况的人来说都会疏忽大意,因为ISP供应商和用户都有着无视基本安全做法的悠久传统。这种疏忽的结果是存在成千上万的数以百万计的黑客控制路由器,用于攻击互联网生态系统和互联网络。
 
僵尸网络档案:
 
是什么使得这个特定的DDoS活动脱颖而出,是它所推出的僵尸网络,其中包括大量的SOHO路由器,主要是基于ARM的Ubiquiti设备。面对这种同质的僵尸网络,我们的安全调查人员最初的假设是路由器受到共享固件漏洞的威胁。但是进一步检查发现所有设备都可以通过默认端口上的HTTP和SSH进行远程访问。最重要的是几乎所有配置都使用供应商提供的默认登录凭据。这种组合引起麻烦。这些显而易见的风险,这种访问级别可以让任何犯罪者轻松获得:
 
窃听所有的通信;执行中间人(MITM)攻击(例如DNS中毒);劫持cookies;可以访问本地网络设备(如CCTV摄像机)。
 
我们已经确定所有这些暴露的路由器都被注入了MrBlack恶意软件(又名Trojan.Linux.Spike.A)的变种,这些变种的签名是我们在缓解攻击时确定的。在检查了13,000个恶意软件文件的样本后,我们发现平均而言,每台受到威胁的路由器都会持有MrBlack恶意软件的四种变体,以及Dofloo和Mayday等其他恶意软件文件,这些文件也用于DDoS攻击。
 
自持僵尸网络:
 
我们的分析表明不法分子正在使用他们的僵尸网络资源来扫描其他路由器以添加到他们的“群”。他们通过执行shell脚本来搜索具有开放式SSH端口的设备,这些设备可以使用默认凭证访问。为了促进这种渗透,所有这些安全保护不足的路由器都集中在特定ISP的IP地区,并将它们批量提供给最终用户。对于犯罪者来说这就像在桶中拍摄鱼,这使得每一次扫描都更有效。使用此僵尸网络还可以使犯罪者执行分布式扫描,提高他们抵御常见黑名单,限速和基于信誉的防御机制的机会。
 
采取防护措施:
 
我们强烈敦促路由器所有者禁用所有远程(WAN)访问其路由器管理接口。要验证您自己的路由器是否不允许远程访问,您可以使用YouGetSignal中的此工具扫描以下端口:SSH(22),Telnet(23)和HTTP / HTTPS(80/443)。无论结果如何我们还强烈建议所有路由器所有者更改默认的登录凭据。最后如果你认为你的路由器已经被盗用,请将你的路由器的固件升级到制造商提供的最新版本。
 
CDN互联专业提供国内外高防cdn加速服务
 
猜你喜欢