Desde que MikroTik emitió un parche en abril para el CVE-2018-14847 que se reveló más adelante, los piratas informáticos han aprovechado esta vulnerabilidad para ejecutar ataques que van desde la encriptación hasta el espionaje . Desde el 19 de septiembre hasta el 15 de octubre, Avast bloqueó las URL malintencionadas relacionadas con redes infectadas con las puertas de enlace MikroTik, también conocida como la vulnerabilidad de WinBox, más de 22,4 millones de veces, bloqueando a más de 362,616 usuarios en 292,456 redes solo en la red Avast. Detectamos la campaña cryptomining como JS: InfectedMikroTik.
Avast Threat Labs participó recientemente en un análisis más profundo del malware , lo que llevó a la identificación y eliminación de dos servidores de C&C y nos llevó a la puerta de los piratas informáticos . Una de las características más sorprendentes de esta campaña en particular es la longevidad con la que ha persistido el ataque después de haber sido visto por primera vez a finales de julio. Observado, pero no entendido previamente, este malware utiliza varias técnicas inteligentes para tomar el control del poder de cómputo de cientos de miles de redes y asegurar su persistencia en los enrutadores afectados.
Más y más cryptominers
El aumento en el uso de las criptomonedas, junto con la capacidad de explotar la moneda a través de javascript dentro de un navegador, ha impulsado un marcado aumento en el cifrado malicioso . Los ciberdelincuentes ejecutan software para explotar divisas utilizando los recursos de empresas y consumidores inconscientes.
Cualquier cosa que pueda proporcionar potencia de cómputo es atractiva para los malos actores, y uno de los objetivos más obvios para ellos son los enrutadores: todos los hogares y negocios conectados tienen uno, y con frecuencia tienen problemas de seguridad causados por credenciales débiles o vulnerabilidades conocidas.
Uno podría pensar que la campaña utiliza solo el poder de cómputo de los enrutadores para extraer monedas, sin embargo, este no es el caso. Utiliza la potencia de cómputo de todos los dispositivos conectados al enrutador infectado que puede ejecutar un navegador, incluyendo computadoras, teléfonos y televisores inteligentes. El problema más grande, sin embargo, es que una vez que el enrutador está en peligro, no puede estar seguro de qué otra forma podría ser objeto de abuso.
Cuando conseguimos uno de los enrutadores infectados, comenzamos a investigar y analizar cómo funciona la campaña. Déjanos guiarte a través de nuestra investigación.
Ataques del router MikroTik bloqueados por Avast en todo el mundo
Los diez principales países seleccionados por JS: InfectedMikroTik
Principales proveedores de Internet con enrutadores infectados por país (fuente: ISPs de la base de usuarios de Avast)
Impulso inicial
Decidimos analizar esta campaña de cryptomining, después de que la cuenta de Twitter "Bad Packets Report" ( @bad_packets ) se quejara de una campaña de cryptomining en curso en los enrutadores MikroTik a la que nadie estaba prestando atención. En su tweet, Bad Packets mencionó acerca de 250K enrutadores comprometidos.
Esto nos llamó la atención, por lo que decidimos profundizar y descubrir la causa raíz. Varias fuentes mencionaron que el acceso a esos enrutadores se había permitido principalmente debido a una vulnerabilidad reciente en el protocolo WinBox, un panel de control de la GUI del enrutador cuyo protocolo podría explotarse con la vulnerabilidad CVE-2018-14847 . Sin embargo, creemos que los enrutadores también podrían haber sido explotados porque sus propietarios no cambiaron sus credenciales predeterminadas o crearon contraseñas débiles .
Hay alrededor de 314,000 enrutadores MikroTik en la base de usuarios de Avast, y de estos, solo el 4.89% se ha actualizado con el último firmware de MikroTik, que corrige la vulnerabilidad. El 85,48% son vulnerables al exploit de Winbox.
Modus operandi y primeros hallazgos.
Comenzamos a buscar enrutadores que pudieran ser vulnerables e infectados. Un denominador común de los dispositivos infectados es que el puerto TCP / 8080 , que sirve como proxy web, está abierto. Normalmente, los proxies web se abren desde el interior del perímetro hacia el exterior, pero en este caso, se puede encontrar un puerto abierto en la interfaz de Internet del enrutador. Lo que es aún más interesante es cómo se comporta cuando se conecta al proxy en el enrutador.
Una página prohibida específicamente diseñada que ejecuta un minero de criptomonedas antes de mostrar el contenido web real al que el usuario intenta acceder
Cuando intente acceder a cualquier URL que comience con http: // en un enrutador infectado a través del puerto TCP 80, obtendrá el código de error HTTP 403 Prohibido a través de una página de error personalizada, que contiene el código HTML anterior. Mirando más de cerca la imagen de arriba, puede haber notado que intenta ejecutar un script:
Después de descubrir varios niveles de ofuscación, descubrimos que la secuencia de comandos inicia un minero de criptomoneda javascript que se ejecuta en su navegador. Curiosamente, la página web originalmente prevista se recarga en un elemento IFRAME después de 10 milisegundos, por lo que el usuario ve el contenido original dentro de un iframe, mientras que el minero se ejecuta en segundo plano. De esta manera, el usuario estará feliz de navegar por el contenido original sin siquiera saber que está ocurriendo algo sospechoso en el fondo.
¿Cómo es posible que la misma URL muestre el contenido real después de 10 milisegundos, y no el minero otra vez? Para comprender cómo funciona esto, debemos sumergirnos en la configuración de los enrutadores MikroTik. Obtuvimos el script de configuración que configura el enrutador MikroTik para esta campaña de cifrado. Examinemos la anatomía del ataque.
Vector de ataque
La infección comienza con un uso incorrecto de CVE-2018-14847 , una vulnerabilidad crítica que le permite al atacante obtener acceso a cualquier archivo en el enrutador sin autorización o interacción del usuario. En este caso, la cepa apunta al archivo que contiene la base de datos de credenciales, lo que permite al atacante iniciar sesión en su dispositivo.
CONSEJO DE SEGURIDAD: Nunca exponga su interfaz de administración a Internet a través de un puerto abierto. Si bien esta es una vulnerabilidad grave, no se puede usar mal a menos que el atacante pueda conectarse a la interfaz de administración.En este caso, el puerto WinBox TCP / 8291 es vulnerable. Recomendamos cerrar este y todos los demás puertos, como TCP / 21 para FTP, TCP / 22 para SSH y TCP / 23 para los servicios TELNET si no tiene la intención de usarlos para conectarse al enrutador desde Internet.
Usando la vulnerabilidad mencionada o las credenciales débiles, el atacante obtiene acceso al enrutador y luego ejecuta un ataque de varias etapas. Lo primero que hace es colocar un script en el enrutador. Aún no está completamente claro si este primer paso es necesario o no, ya que el mismo fin podría lograrse fácilmente mediante el uso de un simple comando de búsqueda; Sin embargo, el script en este caso hace el trabajo. Una vez allí, el script está programado para ejecutarse una vez cada cinco minutos. El script descarga la siguiente etapa del dominio "comando y control" (C&C) / cmd-update.txt, y lo almacena como archivo i113.rsc en el enrutador, y lo ejecuta emitiendo el comando / import :
Durante esta etapa, se ejecuta un script llamado i113.rsc , y luego de seis segundos, el script se elimina. Este script es bastante largo, por lo que vamos a centrarnos en algunas partes importantes:
Primero, la secuencia de comandos intenta eliminar cualquier trabajo y secuencia de comandos programados previamente que se ejecutan en el enrutador, incluidas las reglas, los horarios y más. Hay una lista bastante larga llena de varios nombres de scripts para eliminar, lo que nos hace pensar que esta variedad ha existido por un tiempo y se ha modificado a medida que se agregan más y más trabajos a su lista de finalización.
A continuación, vuelve a asignar puertos para los protocolos de acceso TELNET y SSH a puertos inusuales para evitar la detección fácil y para evitar que otros se conecten a la interfaz de administración del enrutador; también abre estos puertos a internet si aún no están abiertos. Como verá en nuestro análisis, esto no estaba en el guión original cuando comenzó la campaña.
El siguiente paso es restablecer la página de error de proxy, que luego se usa para la carga útil del minero, y para habilitar el proxy web en sí. También agrega una regla para garantizar que cualquier solicitud adicional al proxy sea denegada, y el contenido de error.html con estado 403 Prohibido se devuelva al usuario.
Ahora llegamos al paso más importante, donde el malware agrega una regla de firewall que redirige cada intento de conexión al puerto TCP / 80 (HTTP) al TCP / 8080 (proxy web). Esto redirige todas las solicitudes de cualquier computadora y otros dispositivos dentro de la red a través de un proxy web a una página web no segura (HTTP).
Tenga en cuenta que src-address-list =! Ok es un detalle muy importante. Básicamente, esta regla se activa solo cuando la dirección IP de la computadora solicitante no se encuentra en la lista " ! Ok ". ¿Por qué? Sigue leyendo.
Esta es otra línea clave de código para que la campaña funcione. Esto significa que si la solicitud se redirige al proxy, la d irección de origen, es decir, la dirección IP de la computadora que lo envió se agrega a la lista de " ! Ok " durante 15 segundos .
Las dos líneas de código de arriba le indican al enrutador que verifique cada 15 segundos cuando se conecta a una página no segura (HTTP), redirige el tráfico a través del proxy (solo una vez porque, al redirigirlo, la dirección IP de su computadora se agrega a la lista! Ok por otros 15 segundos). Básicamente, esto inyecta su minero cada 15 segundos, y también es la razón por la que un intento repetido de cargar la misma página lleva al contenido deseado.
Diagrama de un ejemplo de cómo funciona la inyección.
La siguiente línea nos asegura que este es un script realmente malicioso:
Establece el registro para mantener solo la última línea del registro. Obviamente, esto no es una buena práctica para el uso en producción, pero permite que el mal actor se mantenga bajo el radar, por lo que el administrador no puede ver el historial de comandos en los archivos de registro.
La siguiente línea crea un servidor proxy SOCKS en un puerto que se basa en la hora real del enrutador, que es aleatorio ya que utiliza minutos y segundos.
Las siguientes dos líneas descargan una página maliciosa error.html que, en lugar de una página de error regular, contiene el minero inyectado.
A continuación, el malware intenta hacerse persistente programando el script para descargar una versión nueva de " error.html ", y también una versión nueva del script de instalación.
El script iDDNS se ejecuta cada 5 minutos y contiene:
Este código envía la dirección MAC, el puerto WinBox, el puerto SOCKS, el puerto PROXY, el estado de SOCKS y el proxy WEB, y el estado del servidor PPTP (VPN) al servidor C&C, todo concatenado en una cadena de URL separada por “_”, y luego recibe de nuevo el script para ejecutar.
Estos scripts siguen cambiando y evolucionando a medida que los atacantes los mejoran. En el momento de escribir esta publicación, probablemente sean diferentes, o al menos el dominio del servidor de C&C haya cambiado nuevamente.
Jugar juegos con el atacante.
En este punto, la situación no está muy clara, ya que hay varias cepas de malware activo. Analizar este malware es como buscar en un libro de visitas donde todos dejaron su firma. La cepa particular que analizamos con el script que describimos en esta publicación es utilizada por al menos dos dominios, por lo que sabemos.
El primer dominio del servidor que vimos fue:
mining117.com Más precisamente, los scripts se han servido desde http://mining117.com/update.txt y desde http://mining117.com/cmd-update.txt.
Al investigar más, descubrimos que este dominio ha estado activo desde el 4 de marzo de 2018, y que ha sido alojado en tres servidores diferentes por el mismo proveedor de alojamiento.
Nos pusimos en contacto con el proveedor de alojamiento y juntos eliminamos este servidor el 5 de octubre. Solo un día después, toda la campaña volvió a salir de un dominio diferente, gazanew.com , que se realizó sorprendentemente desde la misma red de alojamiento .
Le pedimos al proveedor de nuevo que apague este servidor. Después de que lo hicimos, el atacante comenzó a jugar juegos con nosotros:
Poco después de eliminar el segundo dominio, el atacante comenzó a ajustar los dispositivos comprometidos, desactivando la mayor parte de la interfaz de administración y moviendo los puertos de SSH y TELNET al puerto TCP / 10022 y TCP / 10023 , lo cual es inesperado y Increíblemente improbable que un usuario se diera cuenta. El atacante continuó ajustando su posición en el enrutador. Por ejemplo, ahora es casi imposible conectarse al puerto telnet; Una vez que se conecta utilizando credenciales filtradas, el enrutador lo desconecta casi de inmediato.
¡Esta vivo!
Todavía estamos persiguiendo a los infractores, sin embargo, es difícil ya que el número de enrutadores infectados sigue siendo enorme. Incluso hay hojas de cálculo de Google docs en Internet que rastrean todas las campañas de minería en los enrutadores infectados:
Fuente: https://docs.google.com/spreadsheets/d/1RdT_r4fi4wPx5rY306FftVKaXiAZeQeb5fx78DmbVx0/edit?usp=sharing
@bad_packets ha recopilado y analizado los datos de cryptominer anteriores de Shodan, Censys y otras fuentes similares, y muestra que el total de enrutadores que sirven a algún tipo de minero supera los 421,000. Y, dado que no hay una manera fácil de obtener estadísticas sobre las claves de CoinHive, a continuación se ilustra la actividad de las claves para las que podríamos obtener el saldo de la cantidad de criptomoneda:
Instantánea de la actividad minera para una de las claves distribuidas (xmr.omine.org)
Instantánea de la actividad minera para una de las claves distribuidas (grupo de MoneroOcean)
La escala del problema.
En el gráfico a continuación, puede ver la distribución de los enrutadores MikroTik por versión de firmware en nuestra base de usuarios. El hecho triste es que solo el 5% de ellos tiene la última versión de firmware (6.43.2), y el 85% sigue siendo vulnerable a la vulnerabilidad de WinBox CVE-2018-14847.
Enrutadores vulnerables a la vulnerabilidad de Winbox: 85.48% Enrutadores con el último firmware (6.43.2): 4.89%
¿Cuál es el daño?
Puede parecer que el daño de esta campaña de cifrado es que utiliza la potencia de cálculo de su enrutador para la criptomoneda minera, pero este no es el caso. De hecho, todas las computadoras detrás del enrutador infectado hacen el trabajo por el atacante, no el enrutador. Esto se logra cuando el enrutador le sirve al cryptominer malicioso cada vez que un usuario intenta ir a cualquier dirección web no segura. El problema más grande, sin embargo, es que una vez que el enrutador está en peligro, no está realmente seguro de qué otra forma podría ser objeto de abuso. Podría usarse para detectar el tráfico, servirle páginas maliciosas, etc.
Puede verificar fácilmente si su red se ve afectada al usar Avast Wi-Fi Inspector. La captura de pantalla a continuación muestra cómo se ve si el enrutador es vulnerable a CVE-2018-14847 . Wi-Fi Inspector también puede detectar contraseñas débiles o predeterminadas en los servicios de enrutador MikroTik como Telnet y FTP, o detectar una manipulación HTTP específica con el nombre del catálogo HNS-2018-001-MIKROTIK-HTTP-INJECTION. Eso es un indicador claro de que su red es infectado.
El Inspector de Wi-Fi de Avast comprueba si su red es vulnerable a un ataque
Los productos antivirus de Avast lo protegen de visitar sitios web infectados con el cifrado malicioso
¿De dónde vino?
En este momento es difícil rastrear a los infractores, ya que hay más de una campaña en curso. Para ser honesto, es una pesadilla ya que los enrutadores vulnerables son reutilizados una y otra vez por diferentes campañas, por lo que a veces parece un cementerio de películas de terror lleno de "cadáveres" de la campaña anterior con nuevos en la parte superior. Sin embargo, estamos observando de cerca una campaña en particular que parece ser el iniciador. Aún no hemos llegado a una conclusión definitiva, así que manténganse atentos para más actualizaciones.
Estoy afectado, ¿qué debo hacer ahora?
MikroTik no debe ser totalmente culpado por esta situación, a pesar de que es un error en sus enrutadores. Ellos emitieron un parche y una advertencia de manera oportuna. El problema aquí es la adopción de parches. Así que si estás afectado, sigue los siguientes pasos:
Incluso si esto puede sonar extraño, verifica si tienes un enrutador MikroTik. Puede verse afectado por este problema incluso si no tiene un enrutador MikroTik. Si este es el caso y obtiene una detección JS: InfectedMikroTik, es probable que su ISP (proveedor de servicios de Internet) se vea afectado. En ese caso, contáctelos de inmediato para resolver el problema en sus enrutadores.
Asegúrese de que puede conectarse al enrutador desde la red interna, utilizando WinBox, TELNET o SSH, como quiera que esté acostumbrado.
Si no puedes conectarte por ninguno de los puertos anteriores, prueba con puertos alternativos movidos por el atacante. Para TELNET y SSH, se trasladaron a TCP / 10022 para SSH y TCP / 10023 para puertos TELNET.
Si aún no puede conectarse, la única manera será restablecer la configuración de fábrica del enrutador. Inmediatamente después de un restablecimiento de fábrica, actualice su firmware. Luego, si realiza otro restablecimiento de fábrica, todas las configuraciones predeterminadas son seguras, ya que las versiones más recientes de los enrutadores MikroTik cierran el acceso externo al enrutador de manera predeterminada. Hay un buen artículo de MikroTik que puede seguir aquí , o puede instalar el último firmware y establecer una nueva contraseña a través de la opción de configuración rápida en la aplicación WinBox. Es fácil.
Si logra conectarse, lo primero que debe hacer es cerrar el acceso a una interfaz externa.
Mire para ver si tiene algún script , archivo, nombre de usuario, secreto de PPP o trabajos programados de los IOC al final de este artículo; Si es así, elimínalos. Comience con el programador, ya que estas tareas podrían volver a ejecutarse, lo que llevará a la reconfiguración del enrutador nuevamente.
Desactive el proxy web y SOCKS (si no los necesita, o verifique su configuración de lo contrario), y verifique las reglas del firewall .
En el menú de herramientas , compruebe el rastreador de paquetes .
Si no utiliza la funcionalidad del servidor PPTP , desactive esta opción.
Verifique todas las cuentas de usuario, elimine todas las sospechosas y establezca una contraseña segura para el resto de ellas.
Ahora ACTUALIZA EL FIRMWARE del enrutador a la última versión.
IOCs
dominios:
gazanew.com mining711.com srcip.com src-ips.com srcips.com hostingcloud.science meaghan.pythonanywhere.com
Nombres de trabajos programados:
DDNS Crt DDNS Subir DDNS Establecer programación [1-9] _ actual [113-116] sistema [111-114] ip a u [3-6]
Cuentas de usuarios que se sabe que están conectadas con campañas:
toto dodo
archivos en el enrutador:
i113.rsc i114.rsc I116.rsc exsvc.rsc
Comments