日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Linux/Moose蠕蟲:操縱路由器“幫你玩”社交網(wǎng)絡(luò)

ESET的安全研究員發(fā)表了一篇技術(shù)報告,報告中詳細(xì)分析了一個新的蠕蟲Linux/Moose。它的攻擊對象主要是調(diào)制解調(diào)器、家用路由器和其他嵌入式計(jì)算機(jī),可將這些設(shè)備變成一個代理網(wǎng)絡(luò),然后創(chuàng)建偽造的社交賬號實(shí)施欺詐行為。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序設(shè)計(jì)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了黃山區(qū)免費(fèi)建站歡迎大家使用!

該惡意程序是由Olivier Bilodeau和Thomas Dupuy發(fā)現(xiàn)的,它會感染基于Linux的路由器和其他基于Linux系統(tǒng)的設(shè)備。如果它發(fā)現(xiàn)有其他的惡意程序和它爭奪路由器的有限資源,會將其清除,然后繼續(xù)尋找下一個感染目標(biāo)。

Moose蠕蟲不會利用路由器上存在的任何漏洞,它只會攻擊那些配置較低并且還使用弱密碼登錄憑證的設(shè)備。這也意味著不僅僅是路由器會感染這種蠕蟲,其他的設(shè)備也可能會感染,甚至是醫(yī)療設(shè)備。

當(dāng)然最受影響設(shè)備還是路由器,涉及的路由器品牌有:Actiontec、Hik Vision、Netgear、Synology、TP-Link、ZyXEL和Zhone。

Moose蠕蟲分析

下圖標(biāo)中列出了Moose的功能:

 

在對僵尸網(wǎng)絡(luò)的監(jiān)控中,我們發(fā)現(xiàn)這種惡意軟件可以從熱門的社交網(wǎng)站中竊取未經(jīng)過加密的HTTP Cookies,并且還可執(zhí)行各種欺詐活動……例如“關(guān)注”等。

 

#p#

下面就是我們從惡意程序所在的代理服務(wù)器上抓取的HTTP請求:

值得我們研究的是服務(wù)器更新機(jī)制是怎樣和HTTPS進(jìn)行連接的。但是它幾乎所有的流量都是通過HTTPS進(jìn)行加密,所以我們沒辦法看到攻擊者執(zhí)行的具體操作。

通過使用HTTPS通信中TLS握手的證書主題字段,我們可以確定目標(biāo)社交網(wǎng)站的域名。

下圖繪制出了某路由器每天向某社交網(wǎng)站發(fā)送的請求:

通過對一個被感染主機(jī)長達(dá)一個月的監(jiān)視,我們發(fā)現(xiàn)它的流量主要會流向下面的社交網(wǎng)站:

Fotki (Yandex)

Instagram (Facebook)

Live (Microsoft)

Soundcloud

Twitter

Vine

Yahoo

Youtube (Google)

從下圖中可以看出最易成為目標(biāo)的社交網(wǎng)站是twitter、instagram、soundcloud。

在分析時,我們經(jīng)常問自己:難道他們付出了那么大的努力就是為了連接到社交網(wǎng)絡(luò)?當(dāng)然不排除說,關(guān)注、點(diǎn)贊、閱讀量等還是有一定的市場的。所以攻擊者也可能是為了賺錢更多的閱讀量或者關(guān)注度而開發(fā)的這個病毒。

Moose蠕蟲還能劫持路由器的DNS,將DNS請求路由到一個惡意服務(wù)器,竊取未加密的社交媒體cookies,然后再用cookies去關(guān)注虛假賬戶。

研究者們已經(jīng)將該惡意程序的研究代碼全部公開了。

防御措施

如果受害者發(fā)現(xiàn)其設(shè)備感染了這一病毒,應(yīng)重啟受害者設(shè)備,然后盡快的更改密碼。然而需要注意的是,攻擊者還是可以通過已知的受害者訪問憑證訪問受害系統(tǒng),因?yàn)閻阂獬绦蛞呀?jīng)知道了目標(biāo)系統(tǒng)的IP地址,并且他們還有很多的方法訪問受感染系統(tǒng)的交互式控制平臺。他們很可能會人為的訪問,這也就意味著系統(tǒng)會被進(jìn)一步的感染,比如說永久修改固件。對此用戶最好將設(shè)備恢復(fù)出廠設(shè)置,固件升級,重裝系統(tǒng),修改密碼。

即使你的設(shè)備沒有聯(lián)網(wǎng),也要更改默認(rèn)密碼。如果可以的話,禁用telnet登錄,使用SSH。確保你的路由器不能通過22(SSH)、23(Telnet)、80(HTTP)、443(HTTPS)網(wǎng)絡(luò)端口進(jìn)行訪問。如果你不知道如何測試你的設(shè)備有沒有連接這些端口,你可以使用ShieldsUP service from GRC.com的“常用端口”對系統(tǒng)進(jìn)行掃描,以確保上述的幾個端口是關(guān)閉的。完整報告點(diǎn)我!


當(dāng)前文章:Linux/Moose蠕蟲:操縱路由器“幫你玩”社交網(wǎng)絡(luò)
瀏覽地址:http://www.dlmjj.cn/article/copieco.html