墨鱼恶意软体针对路由器以窃取身份验证数据

一个新近被识别的威胁，称为乌贼，目前正针对企业级及小型办公室/家庭办公室SOHO路由器。这种恶意软体旨在监控网路流量并窃取身份验证资讯，例如用户名和密码。

Lumen科技公司的Black Lotus Labs研究人员对乌贼进行了分析，并报告称，乌贼会在感染的路由器上设置代理或VPN隧道，使其能够在不被发现的情况下窃取数据，绕过资安措施以躲避可疑登录的警报。

此外，乌贼还能在私人网路中进行HTTP和DNS劫持。这不仅会干扰内部通讯，还可能为进一步的恶意载荷送达入侵系统铺平道路。

乌贼是如何获取访问权限的

初始感染的具体方法尚不清楚，但很可能涉及利用现有的漏洞或暴力破解弱密码。进入路由器后，乌贼会部署一个名为“ssh”的bash脚本，开始收集重要资讯，例如目录列表、当前进程和网路连接。

该脚本随后会获取并执行乌贼的主要载荷，即“timezone”。这个组件直接从内存运行以避免被检测，并在执行后从磁碟中自我删除，隐藏其痕迹。乌贼开发了多个变种，以支持不同的路由器架构，包括ARM、i386和MIPS等。

乌贼恶意软体感染链来源：Black Lotus Labs

监控网路流量

一旦激活，该恶意软体会安装一个封包过滤器以监控所有网路活动。它特别寻找与主要云服务如AWS、Digital Ocean等相关的敏感信息，比如用户名、密码和身份验证代码。

Black Lotus Labs强调：“这引起了我们的注意，因为这些服务通常用于储存应该在网路中找到的数据。”这表明乌贼可能造成的数据安全性危害的严重性。

当收集到足够的数据后，这些数据将通过点对点VPN或代理配置发送到攻击者的伺服器，从而躲避传统的检测机制。

对于本地的私有IP流量，恶意软体会将DNS查询重定向到攻击者指定的伺服器，并修改HTTP流量，使其重定向到恶意网站，利用HTTP 302状态码。

研究人员表示：“我们怀疑这一功能使乌贼可以劫持路由器内部的即东西流量，或在路由器之间建立了VPN连接时的站点间流量。”

如何保护网路免受乌贼侵害

考虑到乌贼的隐蔽性和复杂性，该恶意软体使攻击者能够逃避现有的网路防御，并在不被注意的情况下长期监控云环境，带来重大威胁。

为了应对这一威胁，Black Lotus Labs建议网路管理员消除弱密码，注意异常IP地址的登录，强制使用TLS/SSL进行加密，检查网路设备是否有意外的配置或档案，并定期重新启动系统。

对于关键资产的远端连接，建议使用证书固定来避免流量拦截。此外，使用SOHO路由器的用户应定期重启设备，定期更新韧体，修改默认密码，限制远程访问管理设定，并及时更换过时设备。

Anas Hasan

2024年5月2日

6个月前

Anas Hassan是一位科技迷及网路安全爱好者，在数位转型领域拥有丰富的经验。当Anas不在写博客时，他会观看足球比赛。