這次密幣劫持活動似乎始於本週,而且在第一階段中主要活躍於巴西,但隨後開始針對位於全球的 mikrotik 路由器。
最先發現攻擊的是一位推特暱稱為 malwarehunterbr 的巴西研究員,但隨著受影響的路由器數量越來越多,也引發了trustw**e 公司spiderlabs 研究員 simon kenin 的注意。
trustw**e 發布報告稱,一名或多名黑客似乎在攻擊的第一階段似乎已攻陷位於巴西的7.2萬台左右的 mikrotik 路由器。
kenin 指出,攻擊者利用的是於4月份發現的 mikrotik 路由器 winbox 元件的 0day 漏洞。雖然當時 mikrotik 在不到一天的時間裡就修復了該漏洞,但這並不意味著路由器所有人打上補丁。安全研究員已詳細分析了該漏洞,並在 github 上公開發布 poc。
黑客利用 mikrotik 0day 漏洞
kenin 指出,攻擊者使用其中的乙個 poc 修改通過 mikrotik 路由器的流量,並將 coinhive 庫的副本注入路由器處理的所有頁面。
由於攻擊者在上週所有的 coinhive 注入操作中只使用了乙個 coinhive 金鑰,因此推斷利用該缺陷的人員只有一名。
另外,kenin 指出,他還發現某些非 mikrotik 使用者也受影響。他指出由於某些網際網路服務提供商的主網使用了 mikrotik 路由器,因此攻擊者設法將惡意 coinhive **注入大量 web 流量中。
另外,kenin 指出,由於攻擊執行方法不同,因此不一定將惡意**只注入流入使用者的流量。例如,如果某**託管在使用受感染 mikrotik 路由器的本地網路上,那麼流向**的流量也被注入惡意 coinhive **。
黑客變得更加謹慎
但在如此多的流量中注入 coinhive 非常嘈雜而且惹惱使用者,從而引發使用者和網際網路服務提供商調查問題**。
攻擊者似乎也認識到了這個問題,kenin 表示在最近的攻擊活動中,黑客轉變策略,只注入由路由器返回的出錯頁面中的 coinhive 指令碼。但縮小攻擊面並不意味著攻擊降級。trustw**e 公司的研究員表示,近期發現攻擊傳播至巴西之外的地方,而且目前攻擊數量已是原來的兩倍,已在超過17萬台 mikrotik 路由器中增加了 coinhive 注入。
kenin 在說到攻擊的嚴重程度時表示,全球網際網路服務提供商和多種組織機構和企業使用數萬臺裝置,每台裝置每天為數十名甚至數百名使用者服務。攻擊者很聰明地認為,不選擇訪客少的小型**而是找到複雜方式在終端使用者計算機上執行惡意軟體,就能直接觸及源頭;運營商級別的路由器裝置。即使這種攻擊僅在返回出錯資訊的頁面上起作用,但攻擊者每天感染的網頁數量可能在數百萬級別。
攻擊範圍有可能擴大
從 shodan 物聯網引擎搜尋得知,網上存在170多萬台 mikrotik 路由器。安全研究員 troy mursch 表示,他發現 mikrotik 路由器的流量中被注入第二個 coinhive 金鑰。這一惡意活動觸及超過2.5萬台,使得受感染裝置超過20萬台。目前尚不清楚該活動是否由同乙個攻擊者發動,還是由同一名攻擊者在發現 trustw**e 發布的報告之後重新發動的攻擊。
利用CDLinux裡面的水滴破解路由器密碼的教程
工具 方法 路由器都是這個加密方式,我之前只遇見過乙個wep加密方式的路由器 然後點選右上角的掃瞄,過一會就會顯示掃瞄出來的路由器了,然後一般情況下越下面 的訊號越好,這個時候注意,不是所有的路由器都可以破解,只有最右面顯示有wps的才可以破解,沒有的就不要嘗試了,wps漏洞分析 我們再看看wps安...
黑客眼中的防火牆與路由器
防火牆已經成為企業網路建設中的乙個關鍵組成部分。但有很多使用者,認為網路中已經有了路由器,可以實現一些簡單的包過濾功能,所以,為什麼還要用防火牆呢?以下我們針對neteye防火牆與業界應用最多 最具代表性的cisco路由器在安全方面的對比,來闡述為什麼使用者網路中有了路由器還需要防火牆。一 兩種裝置...
黑客成長之路 01 新手篇 設定路由器
背景 大家一定在猜想這位房東是不是妹紙,答案就在文章的末尾處!請點贊哦!路由器的ip位址和房東的路由器ip位址衝突了 1.將自己的路由器不接入網線 2.電腦連線自己的路由器wifi 3.在瀏覽器中輸入192.168.1.1 4.登陸admin,admin 5.設定嚮導 自動連線 6.網路引數 lan...