公众号现在只对常读和星标的才展示大图推送,
建议大家把夜组科技圈设为星标,接收一手资讯!
Infoblox Threat Intel 最近发布的一份报告重点介绍了一个复杂的僵尸网络操作,该操作利用简单的 DNS 配置错误来大规模传播恶意软件。该僵尸网络建立在约 13,000 台受感染的 MikroTik 设备上,使用伪造的发件人域和恶意垃圾邮件活动来部署木马恶意软件并可能进行其他恶意活动。
报道称,“该僵尸网络利用 MikroTik 路由器的全球网络发送恶意电子邮件,这些电子邮件伪装成来自合法域名。”攻击者利用 DNS 配置错误,特别是发件人策略框架 (SPF) 记录中的错误,让来自未经授权服务器的电子邮件看起来像是合法的。
Infoblox 发现,大约有 20,000 个发件人域参与了此操作。一个关键因素是 SPF 记录配置错误。正如 Infoblox 所解释的那样,SPF 信息作为 TXT 记录发布在域的 DNS 记录中。如果配置错误,它可以允许任何服务器代表域发送电子邮件。
正确配置的 SPF 记录如下所示:
v=spf1 包括:example.com -all
然而,僵尸网络利用了配置错误的域名,例如:
v=spf1 包括:example.com +all
包含“+all”实际上允许任何服务器代表域发送电子邮件,从而使 SPF 保护无效。
该活动的电子邮件通常模仿 DHL 等运输公司,使用引用发票或跟踪信息的主题行。电子邮件包含以一致模式命名的 zip 文件附件,例如“Invoice###.zip”或“Tracking###.zip”。在这些 zip 文件中,Infoblox 发现了执行 PowerShell 脚本的混淆 JavaScript 文件,将受害者连接到托管在与可疑俄罗斯活动相关的 IP 上的命令和控制 (C2) 服务器。
MikroTik 路由器因其固件漏洞而成为已知的攻击目标。许多此类设备都附带一个硬编码的“管理员”帐户,密码为空,这是一个明显的安全漏洞。威胁者利用这些路由器启用 SOCKS 代理,有效地将这些设备转变为恶意流量的匿名中继。
Infoblox 指出,“启用 SOCKS 可以有效地将每台设备变成代理,掩盖恶意流量的真实来源,并使其更难追溯到源头。” 受感染的路由器助长了各种攻击,包括:
-
恶意软件传递:使用代理绕过安全过滤器。 -
数据泄露:将敏感数据发送到攻击者控制的服务器。 -
网络钓鱼活动:扩大恶意电子邮件活动的规模。
报告的结论是:“每一台被入侵的设备都将成为一台更大、更邪恶的机器中的一个齿轮,能够对毫无戒心的目标造成严重破坏。”
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(夜组科技圈):13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论