香港葡京赌侠诗(中国)有限公司

?
各地市:
郑州网站建设 洛阳网站建设 开封网站建设 安阳网站建设 新乡网站建设 濮阳网站建设 焦作网站建设 鹤壁网站建设 三门峡网站建设 商丘网站建设 许昌网站建设 漯河网站建设 平顶山网站建设 驻马店网站建设 周口网站建设 南阳网站建设 信阳网站建设 济源网站建设 二七区网站建设 中原区网站建设 管城区网站建设 惠济区网站建设 金水区网站建设 上街区网站建设 巩义市网站建设 新密市网站建设 登封市网站建设 荥阳市网站建设 中牟县网站建设 经开区网站建设 高新区网站建设 涧西区网站建设 西工区网站建设 老城区网站建设 瀍河回族区网站建设 洛龙区网站建设 吉利区网站建设 偃师市网站建设 孟津县网站建设 新安县网站建设 洛宁县网站建设 宜阳县网站建设 伊川县网站建设 嵩县网站建设 栾川县网站建设 汝阳县网站建设 杞县网站建设 兰考县网站建设 通许县网站建设 尉氏县网站建设 开封县网站建设 金明区网站建设 顺河回族区网站建设 龙亭区网站建设 鼓楼区网站建设 禹王台区网站建设 安阳县网站建设 林州市网站建设 内黄县网站建设 汤阴县网站建设 滑县网站建设 龙安区网站建设 殷都区网站建设 文峰区网站建设 北关区网站建设 辉县市网站建设 卫辉市网站建设 新乡县网站建设 获嘉县网站建设 原阳县网站建设 延津县网站建设 封丘县网站建设 长垣县网站建设 卫滨区网站建设 红旗区网站建设 牧野区网站建设 凤泉区网站建设 华龙区网站建设 清丰县网站建设 南乐县网站建设 濮阳县网站建设 莘县网站建设 范县网站建设 台前县网站建设
当前位置: 主页 > 维护运营 > 服务器安全 >

Linux/Moose蠕虫:操纵路由器“帮你玩”社交网络

发布时间:2017-03-17 17:24 | 发布者:香港葡京赌侠诗 | 浏览次数:次

ESET的安全研究员发表了一篇技术报告,报告中详细分析了一个新的蠕虫Linux/Moose。它的攻击对象主要是调制解调器、家用路由器和其他嵌入式计算机,可将这些设备变成一个代理网络,然后创建伪造的社交账号实施欺诈行为。


该恶意程序是由Olivier Bilodeau和Thomas Dupuy发现的,它会感染基于Linux的路由器和其他基于Linux系统的设备。如果它发现有其他的恶意程序和它争夺路由器的有限资源,会将其清除,然后继续寻找下一个感染目标。


服务器安全


Moose蠕虫不会利用路由器上存在的任何漏洞,它只会攻击那些配置较低并且还使用弱密码登录凭证的设备。这也意味着不仅仅是路由器会感染这种蠕虫,其他的设备也可能会感染,甚至是医疗设备。


当然最受影响设备还是路由器,涉及的路由器品牌有:Actiontec、Hik Vision、Netgear、Synology、TP-Link、ZyXEL和Zhone。


Moose蠕虫分析


下图标中列出了Moose的功能:


在对僵尸网络的监控中,大家发现这种恶意App可以从热门的社交网站中窃取未经过加密的HTTP Cookies,并且还可实行各种欺诈活动……例如“关注”等。


下面就是大家从恶意程序所在的代理服务器上抓取的HTTP请求:


值得大家研究的是服务器更新机制是怎样和HTTPS进行连接的。但是它几乎所有的流量都是通过HTTPS进行加密,所以大家没办法看到攻击者实行的具体操作。


通过使用HTTPS通信中TLS握手的证书主题字段,大家可以确定目标社交网站的域名。


下图绘制出了某路由器每天向某社交网站发送的请求:


通过对一个被感染主机长达一个月的监视,大家发现它的流量主要会流向下面的社交网站:


Fotki (Yandex)
Instagram (脸书)
Live (微软)
Soundcloud
Twitter
Vine
Yahoo
Youtube (谷歌) 


从下图中可以看出最易成为目标的社交网站是twitter、instagram、soundcloud。


在分析时,大家经常问自己:难道他们付出了那么大的努力就是为了连接到社交网络?当然不排除说,关注、点赞、阅读量等还是有一定的市场的。所以攻击者也可能是为了赚取更多的阅读量或者关注度而开发的这个病毒。


Moose蠕虫还能劫持路由器的DNS,将DNS请求路由到一个恶意服务器,窃取未加密的社交媒体cookies,然后再用cookies去关注虚假账户。


研究者们已经将该恶意程序的研究代码全部公开了。


防御措施


如果受害者发现其设备感染了这一病毒,应重启受害者设备,然后尽快的更改密码。然而需要注意的是,攻击者还是可以通过已知的受害者访问凭证访问受害系统,因为恶意程序已经知道了目标系统的IP地址,并且他们还有很多的方法访问受感染系统的交互式控制平台。他们很可能会人为的访问,这也就意味着系统会被进一步的感染,比如说永久修改固件。对此用户最好将设备恢复出厂设置,固件升级,重装系统,修改密码。


即使你的设备没有联网,也要更改默认密码。如果可以的话,禁用telnet登录,使用SSH。确保你的路由器不能通过22(SSH)、23(Telnet)、80(HTTP)、443(HTTPS)网络端口进行访问。如果你不知道如何测试你的设备有没有连接这些端口,你可以使用ShieldsUP service from GRC.com的“常用端口”对系统进行扫描,以确保上述的几个端口是关闭的。

?
?

香港葡京赌侠诗|香港葡京赌侠诗

XML 地图 | Sitemap 地图