路由器不再安全！数十万台MikroTik路由器已被恶意软件控制

据悉，软路由器厂商MikroTik公司大批量路由器被滥用，导致了“近年来最大规模之一的僵尸网络犯罪及服务活动”。

根据捷克安全软件公司Avast发布的一项新研究，利用Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件进行的加密货币挖矿活动都是使用同一个命令和控制（C2）服务器分发的。

捷克安全软件公司Avast的高级恶意软件研究员Martin Hron在一篇文章中说：“C2服务器充当僵尸网络即服务，控制着近230000台易受攻击的MikroTik路由器，这可能与现在所谓的Mēris僵尸网络有关。”

据了解，该僵尸网络利用了MikroTik路由器Winbox组件中的一个已知漏洞CVE-2018-14847，使攻击者能够对任何受影响的设备进行未经验证的远程管理访问。2021年9月下旬，部分Mēris僵尸网络被摧毁。

Martin Hron表示：CVE-2018-14847漏洞于2018年被公布，它使这个僵尸网络背后的网络犯罪分子能够控制这些路由器，并将它们作为一种服务进行出租，MikroTik为此发布了一个修复程序。

在捷克安全软件公司Avast于2021年7月观察到的攻击链中，易受攻击的MikroTik路由器的目标是从一个名为bestony[.]club的域中检索第一阶段有效载荷，然后从第二个域globalmoby[.]xyz获取额外的脚本。这两个域名都与同一个IP地址116.202.93[.]14相连，进而又发现了7个在攻击中被活跃使用的域，其中tik.anyget[.]ru被用于向目标主机提供Glupteba恶意软件样本。

Martin Hron说：“当请求访问https://tik.anyget[.]ru时，我被重新定向到https://routers.rip/site/login（该域又再次被Cloudflare代理隐藏），这是一个控制面板，用于编排被控制的MikroTik路由器，页面显示了连接到僵尸网络的设备的实时计数器。”

但是据说在2021年9月初关于Mēris僵尸网络的细节进入公众领域之后，C2服务器突然停止提供脚本，然后完全消失。

这一披露也与微软的一份新报告相吻合，该报告揭示了TrickBot恶意软件如何将MikroTik路由器武器化，用来命令远程服务器和控制通信，这增加了运营商使用相同的僵尸网络即服务的可能性。

鉴于这些攻击，用户被建议使用最新的安全补丁更新路由器，设置强大的路由器密码，并从公共端禁用路由器的管理界面。

Martin Hron说：“这也表明，考虑到所有不同的架构和操作系统版本，很难编写和大规模传播恶意软件，攻击者不仅将物联网设备作为运行恶意软件的重大目标，而且利用它们的法律和内置功能将它们设置为代理服务器。这样做是为了匿名化攻击者的痕迹，或者作为DDoS的放大工具。”