Что сделало маршрутизаторы MikroTik удобным инструментом для самого агрессивного ботнета Сети
В течение многих лет хакеры-злоумышленники взламывали большое количество маршрутизаторов MikroTik и включали их в Trickbot, один из самых разрушительных ботнетов в Сети. Теперь Microsoft, наконец, выяснила, почему и, главное, как используются маршрутизаторы.
Trickbot появился в 2016 году как троян для кражи паролей к учетным записям для использования в банковских махинациях. С тех пор Trickbot стал одной из самых агрессивных угроз в Интернете благодаря своей модульной многоступенчатой платформе вредоносного ПО, которая предоставляет полный набор инструментов, используемых для установки программ-вымогателей и других форм зловредов от других хакерских групп.
Вредоносное ПО, управляющее Trickbot, отличается расширенными возможностями. Он отлично справляется с получением мощных привилегий администратора, быстро распространяется от компьютера к компьютеру в сети и выполняет разведку, которая идентифицирует зараженные компьютеры, принадлежащие к важным целям. Вредоносная программа часто использует легкодоступное программное обеспечение, такое как Mimikatz, или эксплойты, такие как EternalBlue, которые были украдены у Агентства национальной безопасности.
Скрытие C2
Как заявила Microsoft, операторы Trickbot компрометируют устройства MikroTik и используют эти устройства для сокрытия местоположения серверов управления и контроля, которые обмениваются данными и командами с зараженными компьютерами. Вместо того, чтобы зараженные компьютеры подключались напрямую к управляющим серверам, компьютеры подключаются к скомпрометированным маршрутизаторам, которые действуют как посредники.
Когда аналитики безопасности отслеживают соединения зараженных компьютеров, исследователи видят IP-адреса, принадлежащие взломанным маршрутизаторам в домах и на предприятиях. Расположение самих управляющих серверов остается скрытым и не может быть обнаружено без доступа к прокси-маршрутизатору.
«Цель Trickbot с использованием устройств MikroTik — создать линию связи между зараженным Trickbot устройством и сервером C2, которую стандартные системы защиты в сети не в состоянии обнаружить», — пишут исследователи Microsoft. «Атакующие начинают со взлома маршрутизатора MikroTik».
Microsoft заявляет, что главная причина, по которой Trickbot облюбовала MikroTik, заключается в их уникальной операционной системе RouterOS на базе Linux. Эта операционная система позволяет пользователям удаленно передавать команды, использующие протокол SSH или защищенную оболочку. Гибкость и мощность команд делают маршрутизаторы MikroTik идеальными прокси. Операторы Trickbot могут отправить одну команду, которая заставляет большое количество устройств направлять трафик определенным образом, что выгодно для архитектуры ботнета.
Команды, которым предшествует «/», включают такие вещи, как /ip, /system и /tool. Обычно они не будут работать в обычных окнах оболочки на основе Linux. Оболочки MikroTik, напротив, предлагают операторам Trickbot меню полезных опций. Например, одна команда, отправленная Trickbot, была:
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses= dst-address=
Эта команда создает новое правило, похожее на iptables, которое получает данные от скомпрометированных компьютеров через порт 449. Затем команда перенаправляет данные через порт 80 на командные серверы TrickBot.
«Указанная команда является стандртной командой преобразования сетевых адресов (NAT), которая позволяет маршрутизатору NAT выполнять перезапись IP-адреса», — пояснили в Microsoft. «В данном случае он используется для злонамеренной деятельности. Trickbot известен тем, что использует порты 443 и 449, и мы смогли убедиться, что некоторые целевые серверы в прошлом были идентифицированы как серверы TrickBot C2».
Как стать владельцем роутера MicroTik и остаться вне ботнета
Trickbot использует несколько методов для компрометации маршрутизаторов. Эти методы включают в себя:
- Эксплуатация устройств, которые все еще используют пароли MikroTik по умолчанию
- Выполнение атак с подбором пароля. Возможно, с использованием кодов доступа, полученных от других устройств MikroTik.
- Эксплуатация CVE-2018-14847 на устройствах с версией RouterOS старше 6.42. Эта критическая уязвимость дает злоумышленнику возможность читать произвольные файлы, такие как user.dat, которые содержат пароли. Прошлогоднее исследование показало, что CVE-2018-14847 была одной из трех серьезных уязвимостей, обнаруженных в 300 000 маршрутизаторов MikroTik .
Как только операторы получают контроль над устройством, они меняют пароль, чтобы никто другой не мог удаленно восстановить контроль.
Исследование подчеркивает важность активного мониторинга домашних маршрутизаторов и маршрутизаторов малого бизнеса для обеспечения их безопасности. С этой целью Microsoft выпустила инструмент для выявления компрометаций, связанных с Trickbot, на устройствах MikroTik.
Это ПО с открытым исходным кодом работает следующим образом:
- Получает версию устройства и сопоставляет ее со всеми неисправленными уязвимостями.
- Проверяет запланированные задачи
- Ищет подозрительные правила перенаправления трафика (NAT и другие правила)
- Ищет отравление кеша DNS
- Ищет изменения порта по умолчанию
- Ищет нестандартных пользователей
Существуют и другие меры, которые должны предпринять пользователи любого маршрутизатора или другого устройства IoT. Удаленный доступ должен быть отключен, если он не включен опытными пользователями, у которых есть крайняя необходимость в этом параметре. Все пароли, как для удаленного, так и для локального доступа администратора, должны быть уникальными, генерироваться случайным образом и содержать не менее 10 символов. И прошивку следует обновлять всякий раз, когда задействованы исправления безопасности. Владельцам MikroTik обязательно нужно использовать прошивку версии 6.42 или выше.
«Попытки атак на маршрутизаторы и другие устройства IoT не новы, и, будучи неуправляемыми, они легко могут стать самыми слабыми звеньями в сети», — пишут исследователи Microsoft. «Поэтому организациям также следует учитывать эти устройства при реализации политик безопасности и лучших практик».
