Moon,Linksys路由器的奇怪蠕虫蔓延

10:00 et,2014年2月19日

SAN的安全研究人员检测到自我复制的恶意软件(被称为月亮蠕虫)在许多不同的Linksys路由器之间蔓延。

研究人员在 SANS研究所 发现了一种感染不同的新的自我复制蠕虫 linksys. 家庭和小企业 路由器。在怀俄明州的互联网服务提供商处开始的调查注意到了一个不寻常的网络流量并决定提醒SAN。  SANS研究人员能够检测和隔离蠕虫设置蜜罐他们将其称为月亮,因为它的源代码包含许多相关的月球主题的字符串。

分析师还没有确定是否存在恶意有效载荷,或者蠕虫是否连接到命令和控制服务器。

“我们还没有完全解决命令和控制部分。有至少一个报告功能的证据,“ 

随着时间的推移,我正在为研究人员写出独特的确定性,即蠕虫似乎限制了扫描其他脆弱路由器和传播本身的活动。

“漏洞允许未经神经验证的路由器上任意代码执行。我们尚未发布有关该漏洞的所有细节,但似乎在许多路由器中似乎没有被删除,“SANS首席技术官Johannes B. Ullrich说。

SAN立即发布警报,根据他们正在运行的固件版本提供潜在易受攻击路由器的列表。该列表包括以下型号:

  • E4200
  • E3200
  • E3000
  • E2500.
  • E2100L
  • E2000
  • E1550
  • E1500
  • E1200
  • E1000
  • E900

m1

一旦月亮蠕虫感染了路由器,它就会连接到端口8080并使用思科设备中实现的家庭网络管理协议(HNAP),检索路由器特性和固件版本。

蠕虫似乎提取了路由器硬件版本和固件版本。相关线条是:

<ModelName>E2500</ModelName>

<FirmwareVersion>1.0.07 build 1</FirmwareVersion>

(这是一个来自E2500路由器运行固件版本1.0.07 Build 1的示例

一旦月亮蠕虫发现路由器模型,它就会利用一个易受攻击的CGI脚本,允许它无法访问路由器 验证 并开始搜索其他易受攻击的设备。

“蠕虫发送随机的”管理员“凭据,但脚本未检查它们。 Linksys(Belkin)了解这种漏洞。“

Moon Worm的大小为2MB,除了ELF MIPS二进制文件末尾的随机预告片外,SAN检测到的所有实例都具有相同的。

“对于其他路由器,有大约670个不同的IP范围。它们似乎都属于不同的电缆调制解调器和DSL ISP。他们在全球范围内分发),“”我们仍在努力分析它的完全是什么。但到目前为止,它看起来像它所做的只是传播(这就是我们称之为蠕虫的原因“它可能会有一个”呼叫家“功能,它可能会在感染新主机时报告。”博客帖子。

SANS专家证实月亮蠕虫改变了 DNS.  设置控制受害者的流量,行为对于其他路由器漏洞是常见的。最近波兰计算机紧急响应团队有 记录 在波兰观察到一系列网络攻击涉及网络犯罪分子黑客入侵家庭路由器,并更改其DNS设置以进行 MITM attacks on 在线的 银行业 connections.

“它可能会更改DNS设置,如很多其他路由器漏洞,但这仍然正在进行中。”

如何探索路由器是否被月亮蠕虫感染了?

SAN提供了以下指标来检测恶意软件存在:

  • 端口80和8080上的大出站扫描。
  • 入站连接尝试杂项端口< 1024.

检测潜在的弱势系统:

echo“get / hnap1 / http / 1.1rnhost:testrnrn”| NC Routerip 8080.

如果您将XML HNAP输出返回,则可能会易受攻击。

我始终建议更改默认设置(例如,管理面板的端口号),并将对Remote Administrator界面的访问限制为特定IP地址。

皮奈里格帕加尼尼

(主编,CDM)

RSA标志

 

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请