欢乐颂小说结局是什么,女强穿越玄幻完结小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

窺探家庭網(wǎng)絡(luò)的惡意木馬

近幾年，我們已經(jīng)看到了很多關(guān)于家庭路由器遭受攻擊的報道。攻擊路由器的惡意軟件會將用戶的上網(wǎng)訪問重定向到各種惡意站點，其他的攻擊方式還包括植入后門和DNS劫持。在這些攻擊中，攻擊者針對家庭網(wǎng)絡(luò)的攻擊意圖和目的表現(xiàn)得非常明顯。

惡意軟件攻擊流程

本文分析了一個名為TROJ_VICEPASS.A的惡意軟件。首先，它會偽裝成網(wǎng)站上的一個Adobe Flash更新文件，并誘導(dǎo)訪問者下載并安裝。一旦被執(zhí)行，它將試圖連接家庭路由器，并搜索網(wǎng)絡(luò)中所有的聯(lián)網(wǎng)設(shè)備。然后，它會利用預(yù)先準備的賬號和密碼嘗試登錄這些聯(lián)網(wǎng)設(shè)備，并獲取敏感數(shù)據(jù)；最后，它將偷竊的數(shù)據(jù)發(fā)送至遠程服務(wù)器，然后將自己從電腦上刪除。

圖1是該惡意軟件的感染流程圖。

圖1 惡意軟件感染鏈

深入分析

當(dāng)訪問惡意網(wǎng)站時，如果這些網(wǎng)站已被植入假的Flash更新文件，那么用戶將很可能遇到惡意軟件TROJ_VICEPASS.A。通常情況下，網(wǎng)站會建議訪問者下載并安裝這個Flash更新文件。

圖2 被植入假的Adobe Flash更新文件的站點

圖3 假的Flash更新

一旦惡意軟件被執(zhí)行，它將試圖使用一個預(yù)先準備的用戶名和密碼列表，通過管理控制臺連接到路由器。如果連接成功，惡意軟件會試圖掃描整個網(wǎng)絡(luò)來尋找所有已連接的設(shè)備。

圖4 搜索連接的設(shè)備

惡意軟件使用的用戶名列表：

admin Admin administrator Administrator bbsd-client blank cmaker d-link D-Link guest hsa netrangr root supervisor user webadmin wlse

惡意軟件使用的密碼列表：

_Cisco 0000 000000 1000 1111 111111 1111111 11111111 111111111 112233 1212 121212 123123 123123Aa 123321 1234 12345 123456 1234567 12345678 123456789 1234567890 1234qwer 123ewq 123qwe 131313 159753 1q2w3e4r 1q2w3e4r5t 1q2w3e4r5t6y7u8i9o0p 1qaz2wsx 2000 2112 2222 222222 232323 321123 321321 3333 4444 654321 666666 6969 7777 777777 7777777 88888888 987654 987654321 999999999 abc123 abc123 abcdef access adm admin Admin Administrator alpine Amd angel asdfgh attack baseball batman blender career changeme changeme2 Cisco cisco cmaker connect default diamond D-Link dragon ewq123 ewq321 football gfhjkm god hsadb ilove iloveyou internet Internet jesus job killer klaster letmein link marina master monkey mustang newpass passwd password password0 password1 pepper pnadmin private public qazwsx qwaszx qwe123 qwe321 qweasd qweasdzxc qweqwe qwerty qwerty123 qwertyuiop ripeop riverhead root secret secur4u sex shadow sky superman supervisor system target123 the tinkle tivonpw user User wisedb work zaq123wsx zaq12wsx zaq1wsx zxcv zxcvb zxcvbn zxcvbnm

需要指出的是，惡意軟件使用HTTP協(xié)議來掃描并搜尋聯(lián)網(wǎng)設(shè)備，掃描的IP地址范圍是192.168.[0-6].0—192.168.[0-6].11，這些IP地址一般都會用作路由器IP地址。搜索路由器的打印日志如下所示：

Find router IP address – start Searching in 192.168.0.0 – 192.168.0.11 [0] connect to 192.168. 0.0 URL: ‘192.168.0.0’, METHOD: ‘1’, DEVICE: ‘Apple’ …. (skip) Find router IP address – end

我們注意到惡意軟件會檢測蘋果設(shè)備，例如iPhone和iPad，而它們設(shè)備并沒有開放的HTTP端口。然而，需要注意的是，從這些字符串可以看出，它更加關(guān)注路由器。我們發(fā)現(xiàn)惡意軟件使用以下名字搜索路由器等設(shè)備：

dlink d-link laserjet apache cisco gigaset asus apple iphone ipad logitech samsung xbox

圖5 搜索蘋果設(shè)備

一旦惡意軟件對網(wǎng)絡(luò)中的設(shè)備搜索結(jié)束，它會利用base64編碼和一個自定義的加密算法對搜索結(jié)果加密。然后，通過HTTP協(xié)議將加密后的結(jié)果發(fā)送到一個遠程C&C服務(wù)器。

圖6 加密搜索結(jié)果

圖7 發(fā)送結(jié)果到C&C服務(wù)器

惡意軟件成功發(fā)送結(jié)果之后，就從受害者電腦上自我刪除，并清除它的任何蹤跡。攻擊者使用下面的命令來實現(xiàn)這些操作：

exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”

相關(guān)文件哈希：

a375365f01fc765a6cf7f20b93f13364604f2605

猜測：可能是攻擊活動的“先行軍”

根據(jù)惡意軟件的行為可猜測，它可能只是攻擊者用來收集情報的先行部隊，這些信息很可能會被用來發(fā)動一場大型惡意活動。收集來的信息可能會被存儲并用作以后的跨站請求偽造(CSRF)等攻擊，因為如果攻擊者手中已經(jīng)有了特定IP的登錄憑證，那么以后的攻擊將變得更加容易。當(dāng)然，我們并不十分確定，但是考慮到該惡意軟件的執(zhí)行流程以及行為表現(xiàn)，這似乎是最有可能發(fā)生的場景。

安全建議

無論攻擊者的最終目標是什么，這個惡意軟件都向我們展示了設(shè)備安全的重要性，即使那些不太可能成為目標的設(shè)備也需要關(guān)注其安全。所以，用戶應(yīng)該經(jīng)常修改路由器的登錄憑證，最好設(shè)置成強密碼。此外，用戶還可以選擇密碼管理軟件來幫助他們管理所有的密碼。

除了良好的密碼習(xí)慣，用戶還應(yīng)該永遠記住其他的安全措施。例如，他們應(yīng)該盡可能避免點擊郵件中的不明鏈接。如果他們需要訪問一個站點，最好直接輸入網(wǎng)址或者使用一個書簽。如果他們的軟件需要升級，那么可以直接訪問軟件的官方網(wǎng)站去下載。此外，也可以選擇設(shè)定軟件自動安裝更新。最后，用戶應(yīng)該采取安全措施來保護他們的設(shè)備。

網(wǎng)頁標題：窺探家庭網(wǎng)絡(luò)的惡意木馬
分享鏈接：http://fisionsoft.com.cn/article/djhhhoc.html

新聞中心

其他資訊