Microsoft vydal nový nástroj, který dokáže prověřit routery značky MikroTik, a zjistí, zda nejsou hacknuté a zapojené v botnetu TrickBot. Postižené routery v takovém případě plní roli proxy serveru mezi řídicím serverem a infikovanými počítači.
Malware TrickBot již léta využívá zařízení internetu věcí, jako jsou routery, k tomu, aby fungovaly coby prostředník mezi infikovaným zařízením a řídicími servery. Účelem proxy serveru, předávajícího příkazy, je zabránit bezpečnostním expertům a orgánům činným v trestním řízení v prozkoumání a narušení infrastruktury.
Schéma útoku malwaru TrickBot
Útoky a změny konfigurace
V nové zprávě odborníci z Microsoftu vysvětlují, jak se skupina kolem TrickBotu zaměřila na zranitelné routery MikroTik a použila k jejich zneužití různé metody. K útoku na síťové prvky této značky byly používány jak výchozí přihlašovací údaje (které uživatelé často nemění), tak i prolamování hesla hrubou silou.
Pokud tyto metody nezajistily přístup k routeru, pokusili se útočníci zneužít přes tři roky starou kritickou zranitelnost procházení adresářů CVE-2018-14847. Ta umožňuje neautorizovaným vzdáleným útočníkům číst libovolné soubory. Pomocí této zranitelnosti jednoduše ukradli soubor user.dat, který obsahuje přihlašovací uživatelské údaje.
Přímá komunikace mezi infikovaným zařízením a řídicím serverem
Po získání přístupu k zařízení použili útočníci příkazy k vytvoření pravidla překladu síťových adres (NAT). Díky tomu pak routery ochotně přesměrovávaly provoz z řídících serverů na počítače v rámci lokální sítě. Útočníci zřejmě dokonale znají omezené funkce operačního systému Linux v zařízeních MikroTik a používají příkazy SSH, které by v jiných zařízeních neměly smysl.
Proklepněte si router
„Při zkoumání jsme kromě metody popsané v tomto příspěvku zaznamenali několik způsobů napadení těchto zařízení. Naše poznatky o těchto metodách a známých CVE jsme shrnuli do open-source nástroje, který dokáže extrahovat forenzní artefakty související s těmito útoky,“ uvádí na blogu výzkumný tým Microsoft Defenderu pro IoT.
Zde je výčet několika funkcí, které nástroj umí:
- Získat verzi zařízení a zobrazit odhalené bezpečnostní chyby.
- Kontrola naplánovaných úloh.
- Vyhledat pravidla pro přesměrování provozu (NAT a další pravidla).
- Vyhledat otravu mezipaměti DNS.
- Vyhledat změnu výchozích portů.
- Vyhledat uživatele, kteří nejsou ve výchozím nastavení.
Nástroj je zveřejněn na serveru GitHub s tím, že dokáže vyhledávat podezřelé vlastnosti a slabá místa zabezpečení, která je třeba na routeru opravit. Pokud tedy máte doma nebo ve firmě router značky MikroTik, pak je určitě dobrý nápad zkontrolovat si, zda nefunguje jako proxy server pro škodlivé aktivity.
