Qui a découvert le dodo ?

Le chaos de MikroTik : campagne de cryptomining abusant des routeurs

La puissance de calcul des ordinateurs, des smartphones et des téléviseurs intelligents connectés à des routeurs vulnérables abusés pour exploiter la crypto-monnaie.

A lire en complément : Comment les Suédois s'habillent ?

A lire également : Quel document fournir pour voyager en France ?

Depuis que MikroTik a publié un correctif en avril pour le dernier CVE-2018-14847 , les pirates ont rapidement exploité cette vulnérabilité pour exécuter des attaques allant de la cryptomining à l’écoute. Du 19 septembre au 15 octobre, Avast a bloqué les URL de cryptomining malveillantes liées à des réseaux infectés par des passerelles MikroTik, également connue sous le nom de vulnérabilité WinBox, plus de 22,4 millions de fois, bloquant ainsi plus de 362 616 utilisateurs sur 292 456 réseaux du seul réseau Avast. Nous détectons la campagne de cryptomining sous le nom de JS : infectedMikrotik.

Avast Threat Labs s’est récemment engagé dans une analyse plus approfondie du malware, ce qui a conduit à l’identification et à la suppression de deux serveurs C&C et à nous amener à la porte des pirates informatiques eux-mêmes. L’un des la caractéristique la plus étonnante de cette campagne particulière est la longévité avec laquelle l’attaque a persisté après avoir été repérée pour la première fois fin juillet. Observé, mais non compris auparavant, ce logiciel malveillant utilise plusieurs techniques intelligentes pour prendre le contrôle de la puissance de calcul de centaines de milliers de réseaux et assurer sa persistance dans les routeurs concernés.

Lisez plus loin pour savoir comment déterminer si votre routeur est affecté et comment protéger votre réseau contre cette vulnérabilité.

Plan de l'article

De plus en plus de cryptominers
impulsion initiale
Modus operandi et premiers résultats
vecteur d’attaque
Jouer à des jeux avec l’attaquant
C’est vivant !
L’ampleur du problème
Quel est le mal ?
Je suis touché, que dois-je faire ensuite ?
CIO
Ne manquez jamais nos nouvelles — Suivez nous !
Discussion (1)

De plus en plus de cryptominers

L’augmentation de l’utilisation des cryptomonnaies, associée à la capacité d’extraire la monnaie via javascript dans un navigateur, a entraîné une augmentation marquée du nombre de cryptominages malveillants. Les cybercriminels utilisent des logiciels pour extraire de la monnaie en utilisant les ressources d’entreprises et de consommateurs inconscient.

Tout ce qui peut fournir de la puissance de calcul est attrayant pour les mauvais acteurs, et l’une des cibles les plus évidentes pour eux est routeurs : tous les ménages et entreprises connectés en ont un, et ils rencontrent souvent des problèmes de sécurité causés par des informations d’identification faibles ou des vulnérabilités connues.

On pourrait penser que la campagne utilise uniquement la puissance de calcul des routeurs pour extraire des pièces, mais ce n’est pas le cas. Il utilise la puissance de calcul de tous les appareils connectés au routeur infecté qui peuvent exécuter un navigateur, y compris les ordinateurs, les téléphones et les téléviseurs intelligents. Le problème le plus important, cependant, est qu’une fois le routeur compromis, vous ne pouvez pas savoir comment il pourrait être abusé autrement.

Lorsque nous avons mis la main sur l’un des routeurs infectés, nous avons commencé à étudier et à analyser le fonctionnement de la campagne. Laissez-nous vous guider tout au long de notre enquête.

Attaques de routeur MikroTik bloquées par Avast dans le monde entier

Les dix premiers pays ciblés par JS:InfectedMikrotik

1 Brésil 85 230 2 Pologne 43 677 3 Indonésie 27 102 4 Argentine 24 255 5 Colombie 15 300 6 Turquie 15 144 7 Inde 11 809 8 Ukraine

11 614

9 Bangladesh 9 867 10 Venezuela 9 527

Principaux fournisseurs Internet avec des routeurs infectés par pays (source : FAI de la base d’utilisateurs Avast)

impulsion initiale

Nous avons décidé d’analyser cette campagne de cryptominage, après que le compte Twitter « Bad Packets Report » (@bad_packets) se soit plaint d’une campagne de cryptomining en cours hébergée sur des routeurs MikroTik auquel personne n’a prêté attention. Dans leur tweet, Bad Packets mentionne environ 250 000 routeurs compromis.

Quarter million compromised #MikroTik routers found worldwide for Coinhive IOC alone.https://t.co/1CJ9bk2HIz pic.twitter.com/hSVkAytRuO

— Bad Packets (@bad_packets) September 30, 2018

Cela a attiré notre attention, nous avons donc décidé d’aller plus loin et de découvrir la cause première. Diverses sources ont mentionné que l’accès à ces routeurs avait été principalement autorisé en raison d’une vulnérabilité récente du protocole WinBox, un panneau de configuration de l’interface graphique du routeur dont le protocole pourrait être exploité avec la vulnérabilité CVE-2018-14847 . Cependant, nous pensons que les routeurs auraient pu également être exploités parce que leurs propriétaires n’ont pas modifié leurs informations d’identification par défaut ni créé de mots de passe faibles.

La base d’utilisateurs Avast compte environ 314 000 routeurs MikroTik, dont seulement 4,89 % ont été mis à jour avec le dernier micrologiciel de MikroTik, ce qui corrige la vulnérabilité. 85,48 % sont vulnérables à la Winbox exploiter.

Modus operandi et premiers résultats

Nous avons commencé à rechercher des routeurs susceptibles d’être vulnérables et infectés. L’un des dénominateurs courants des périphériques infectés est que le port TCP/8080 , qui sert de proxy Web, est ouvert. Normalement, les proxy Web sont ouverts de l’intérieur du périmètre vers l’extérieur, mais dans ce cas, un port ouvert peut être trouvé sur l’interface Internet du routeur. Ce qui est encore plus intéressant, c’est comment il se comporte lorsque vous vous connectez au proxy sur le routeur.

Une page interdite spécialement conçue qui exécute un mineur de cryptomonnaies avant d’afficher le contenu Web réel auquel l’utilisateur essaie d’accéder

Lorsque vous essayez d’atteindre une URL commençant par http ://sur un routeur infecté via le port TCP 80, vous obtiendrez le code d’erreur HTTP 403 Interdit via une page d’erreur personnalisée, qui contient le code HTML ci-dessus. En regardant de plus près l’image ci-dessus, vous avez peut-être remarqué qu’il tente d’exécuter un script :

IFRAME Après avoir découvert plusieurs niveaux d’obfuscation, nous avons découvert que le script lance un mineur de crypto-monnaie JavaScript qui s’exécute dans votre navigateur. Fait intéressant, la page Web initialement prévue se recharge dans un élément après 10 millisecondes, de sorte que l’utilisateur voit le contenu d’origine à l’intérieur d’un iframe, tandis que le mineur s’exécute en arrière-plan. De cette façon, l’utilisateur parcourra volontiers le contenu original sans même savoir qu’il se passe quelque chose de louche en arrière-plan.

Comment est-il possible que la même URL affiche le contenu réel après 10 millisecondes, et non à nouveau le mineur ? Pour comprendre comment cela fonctionne, nous devons nous plonger dans la configuration des routeurs MikroTik. Nous avons obtenu le script de configuration qui a été configuré le routeur MikroTik pour cette campagne de cryptomining. Examinons l’anatomie de l’attaque.

vecteur d’attaque

L’infection commence par une utilisation abusive de CVE-2018-1487, une vulnérabilité critique qui permet à l’attaquant d’accéder à n’importe quel fichier du routeur sans autorisation ni interaction de l’utilisateur. Dans ce cas, la souche cible le fichier contenant la base de données d’informations d’identification, ce qui permet à l’attaquant de se connecter à votre appareil.

CONSEIL DE SÉCURITÉ : N’exposez jamais votre interface d’administration à Internet via un port ouvert. Bien qu’il s’agisse d’une vulnérabilité grave, elle ne peut être utilisée à mauvais escient que si l’attaquant peut se connecter à l’interface de gestion. Dans ce cas, le port WinBox TCP/8291 est vulnérable. Nous vous recommandons de fermer ce port et tous les autres ports tels que TCP/21 pour FTP, TCP/22 pour SSH et TCP/23 pour les services TELNET si vous n’avez pas l’intention de les utiliser pour vous connecter au routeur depuis Internet.

Utilisation que ce soit la vulnérabilité susmentionnée ou les informations d’identification faibles, l’attaquant accède au routeur, puis exécute une attaque à plusieurs étapes. La première chose qu’il fait est de placer un script sur le routeur. Il n’est toujours pas tout à fait clair si cette première étape est nécessaire ou non, car la même fin pourrait facilement être obtenue en utilisant une simple commande de récupération ; cependant, dans ce cas, le script fait le travail. Une fois sur place, le script doit être exécuté toutes les cinq minutes. Le script télécharge l’étape suivante à partir du domaine « commande et contrôle » (C&C)/cmd-update.txt, et la stocke en tant que fichier i113.rsc sur le routeur, et l’exécute en émettant le commande /import

Au cours de cette étape, un script appelé i113.rsc est exécuté, et après six secondes, le script est alors enlevé. Ce script est assez long, alors concentrez-vous sur quelques parties importantes :

Tout d’ abord, le script tente de supprimer tous les travaux et scripts précédemment planifiés qui s’exécutent sur le routeur, y compris les règles, les planifications, etc. Il existe une liste assez longue de différents noms de scripts à tuer, ce qui nous fait penser que cette souche existe depuis un certain temps et a été modifiée au fur et à mesure que de plus en plus de tâches sont ajoutées à sa liste d’élimination.

Ensuite, il remappe les ports des protocoles d’accès TELNET et SSH sur des ports inhabituels afin d’éviter une détection facile et d’empêcher les autres de se connecter à l’interface d’administration du routeur ; il ouvre également ces ports à Internet s’ils ne sont pas déjà ouverts. Comme vous le verrez dans notre analyse, cela ne figurait pas dans le script d’origine au début de la campagne.

error.html avec le statut L’étape suivante consiste à réinitialiser la page d’erreur proxy, qui est ensuite utilisée pour la charge utile du mineur, et à activer le proxy Web lui-même. Il ajoute également une règle pour s’assurer que tout autre demande au proxy est refusée et le contenu de 403 Interdit est renvoyé à l’utilisateur.

Nous en arrivons maintenant à l’étape la plus importante, où le logiciel malveillant ajoute une règle de pare-feu qui redirige chaque tentative de connexion au port TCP/80 (HTTP) vers TCP/8080 (proxy Web). Cette opération redirige chaque requête de n’importe quel ordinateur et d’autres périphériques du réseau via un proxy Web vers une page Web non sécurisée (HTTP).

Remarquez que src-address-list= ! Ok est un détail très important. Fondamentalement, cette règle ne se déclenche que lorsque l’adresse IP de l’ordinateur demandeur ne se trouve pas dans le « ! Liste Ok ». Pourquoi ? Continuez à lire.

Il s’agit d’une autre ligne de code clé pour que la campagne fonctionne. Cela signifie que si la demande est redirigée vers le proxy, le adresse source, c’est-à-dire que l’adresse IP de l’ordinateur qui l’a envoyé est ajoutée à l’adresse « ! Ok » liste pendant 15 secondes.

Les deux lignes de code ci-dessus indiquent au routeur de vérifier toutes les 15 secondes lorsqu’il se connecte à une page non sécurisée (HTTP), de rediriger le trafic via le proxy (juste une fois parce que vous êtes redirigé, l’adresse IP de votre ordinateur est ajoutée dans le ! Ok list pendant encore 15 secondes). Cela injecte essentiellement votre mineur toutes les 15 secondes, et c’est aussi la raison pour laquelle une tentative répétée de charger la même page mène au contenu prévu.

Schéma d’un exemple de fonctionnement de l’injection

La ligne suivante nous assure qu’il s’agit d’un script vraiment malveillant :

Il définit la journalisation de manière à ne conserver que la dernière ligne du journal. C’est ce n’est évidemment pas une bonne pratique pour l’utilisation de la production, mais elle permet au mauvais acteur de rester sous le radar afin que l’administrateur ne puisse pas voir l’historique des commandes dans les fichiers journaux.

La ligne suivante crée un serveur proxy SOCKS sur un port basé sur l’heure réelle du routeur, ce qui est aléatoire dans la mesure où il utilise des minutes et des secondes.

Les deux lignes suivantes téléchargent une page error.html malveillante qui, au lieu d’une page d’erreur normale, contient le mineur injecté.

Ensuite, le logiciel malveillant tente de se rendre persistant en programmant le script pour télécharger une nouvelle version de « error.html », ainsi qu’une nouvelle version du script d’installation.

Le script IDDNS est exécuté toutes les 5 minutes et contient :

Ce code envoie l’adresse MAC, le port WinBox, le port SOCKS, le port PROXY, l’état de SOCKS et du proxy WEB et l’état du serveur PPTP (VPN) au serveur C&C, le tout concaténé en une seule URL chaîne séparée par « _ », puis récupère le script à exécuter.

Ces scripts continuent de changer et d’évoluer au fur et à mesure que les attaquants les améliorent. Au moment de la rédaction de cet article, ils sont probablement différents, ou du moins le domaine du serveur C&C a changé à nouveau.

Jouer à des jeux avec l’attaquant

À ce stade, la situation n’est pas très claire car plusieurs souches de logiciels malveillants sont actives. Analyser ce logiciel malveillant, c’est comme regarder un livre d’or où tout le monde a laissé sa signature. La souche particulière que nous avons analysée avec le script décrit dans cet article est utilisée par au moins deux domaines à notre connaissance.

Le premier domaine de serveur que nous avons repéré était :

mining117.com Plus précisément, les scripts ont été diffusés à partir de http://mining117.com/update.txt et de http://mining117.com/cmd-update.txt.

Par une enquête plus approfondie, nous avons découvert que ce domaine était actif depuis le 4 mars 2018, et il a été hébergé sur trois serveurs différents par le même fournisseur d’hébergement.

5 octobre. Juste un jour plus tard, toute la campagne a été relancée dans un domaine différent, gazanew.com, servi étonnamment à partir du même réseau d’hébergement Nous avons contacté le fournisseur d’hébergement et, ensemble, nous avons arrêté ce serveur le .

Nous avons demandé à nouveau au fournisseur de faire tomber ce serveur. Après cela, l’attaquant a commencé à jouer avec nous :

TCP/10022 et Peu de temps après avoir supprimé le deuxième domaine, l’attaquant a commencé à resserrer les périphériques compromis, en désactivant la plupart de l’interface de gestion et en déplaçant les ports SSH et TELNET vers le port TCP/10023, ce qui est inattendu et incroyablement improbable qu’un utilisateur le remarque. L’attaquant a continué à resserrer sa position dans la toupie. Par exemple, il est désormais presque impossible de se connecter au port telnet ; une fois que vous vous connectez à l’aide d’informations d’identification divulguées, le routeur vous déconnecte presque immédiatement.

C’est vivant !

Nous poursuivons toujours les délinquants, mais c’est difficile car le nombre de routeurs infectés est toujours massif. Il existe même des feuilles de calcul Google Docs sur Internet qui suivent toutes les campagnes de minage sur les routeurs infectés :

Source : https://docs.google.com/spreadsheets/d/1RdT_r4fi4wPx5rY306FftVKaXiAZeQeb5fx78DmbVx0/edit?usp=sharing

@bad_packets a collecté et analysé les données de cryptominer ci-dessus à partir de Shodan, Censys et d’autres sources similaires, et cela montre que le grand nombre de routeurs desservant une sorte de mineur dépasse 421 000. Et, comme il n’y a pas de moyen facile d’obtenir des statistiques sur les clés CoinHive, nous illustrons ci-dessous l’activité des clés pour lesquelles nous pourrions obtenir le solde du montant de la crypto-monnaie :

Instantané de l’activité de minage pour l’une des clés distribuées (xmr.omine.org)

Instantané de l’activité minière pour l’une des clés distribuées (pool MoneroOcean)

L’ampleur du problème

Dans le graphique ci-dessous, vous pouvez voir la distribution des routeurs MikroTik par version du micrologiciel dans notre base d’utilisateurs. Le triste fait est que seulement 5 % d’entre eux possèdent la dernière version du firmware (6.43.2) et 85 % sont toujours vulnérables à l’exploit WinBox CVE-2018-14847.

Routeurs vulnérables à l’exploitation Winbox : 85,48% Routeurs avec dernier microprogramme (6.43.2) : 4,89%

Quel est le mal ?

Il peut sembler que le mal de cette campagne de cryptomining est qu’elle utilise la puissance de calcul de votre routeur pour extraire la cryptomonnaie, mais ce n’est pas le cas. En fait, tous les ordinateurs derrière le routeur infecté font le travail pour l’attaquant, pas pour le routeur. Cela se fait lorsque le routeur vous sert le cryptominer malveillant chaque fois qu’un utilisateur tente d’accéder à une adresse Web non sécurisée. Le problème le plus important, cependant, est qu’une fois que le routeur est compromis, vous ne savez pas vraiment comment il pourrait être abusé autrement. Il peut être utilisé pour renifler le trafic, vous servir des pages malveillantes, etc.

Vous pouvez facilement vérifier si votre réseau est affecté par l’utilisation d’Avast Wi-Fi Inspector. La capture d’écran ci-dessous montre à quoi ressemble le routeur si le routeur est vulnérable au CVE-2018-14847 . Wi-Fi Inspector peut également détecter les mots de passe faibles ou par défaut sur les services de routeur MikroTik tels que Telnet et FTP, ou détecter une altération HTTP spécifique portant le nom de catalogue HNS-2018-001-MIKROTIK-HTTP-INJECTION, c’est un indicateur fort que votre réseau est infecté.

Wi-Fi Inspector d’Avast vérifie si votre réseau est vulnérable à une attaque

Les

produits antivirus Avast vous protègent contre les visites de sites Web infectés avec la cryptominage malveillante

D’où vient-il ?

À l’ heure actuelle, il est difficile de suivre les délinquants, car il y a plus d’une campagne en cours. Pour être honnête, c’est un cauchemar car les routeurs vulnérables sont réutilisés à maintes et maintes fois par différentes campagnes, il ressemble parfois à un cimetière de films d’horreur rempli de « cadavres » de la campagne précédente avec de nouveaux au sommet. Cependant, nous surveillons de près une campagne en particulier qui semble être l’initiatrice. Nous ne sommes pas encore parvenus à une conclusion définitive, alors restez à l’écoute pour plus loin. mises à jour.

Je suis touché, que dois-je faire ensuite ?

MikroTik ne devrait pas être entièrement blâmé pour cette situation, même s’il s’agit d’un bogue dans leurs routeurs. Ils ont émis un correctif et un avertissement en temps opportun. Le problème ici est l’adoption de correctifs. Par conséquent, si vous êtes touché, suivez les étapes suivantes :

Même si cela peut paraître étrange, vérifiez si vous avez un routeur MikroTik. Vous pouvez être affecté par ce problème même si vous ne possédez pas de routeur MikroTik. Si c’est le cas et que vous recevez une détection JS:InfectedMikrotik, il est probable que votre FAI (fournisseur de services Internet) soit affecté. Dans ce cas, contactez-les immédiatement pour résoudre le problème sur leurs routeurs.
Assurez-vous de pouvoir vous connecter au routeur à partir du réseau interne, à l’aide de WinBox, TELNET ou SSH, quelle que soit votre habitude.

Si vous ne pouvez pas vous connecter par n’importe lequel des ports ci-dessus, essayez d’autres ports déplacés par l’attaquant. Pour TELNET et SSH, ils ont été déplacés vers TCP/10022 pour SSH et TCP/10023 pour les ports TELNET.

Si vous ne parvenez toujours pas à vous connecter, le seul moyen sera de réinitialiser les paramètres d’usine de votre routeur. Immédiatement après une réinitialisation d’usine, mettez à jour votre microprogramme. Ensuite, si vous effectuez une autre réinitialisation aux paramètres d’usine, tous les paramètres par défaut sont sécurisés car les nouvelles versions des routeurs MikroTik ferment l’accès externe au routeur par défaut. Il y a un bon article de MikroTik que vous pouvez suivre ici, ou vous pouvez installer le dernier firmware et définir un nouveau mot de passe via l’option Quick Set dans l’application WinBox. C’est facile.

Si vous parvenez à vous connecter, la première chose à faire est de fermer l’accès à une interface externe.
Regardez si vous avez des scripts, des fichiers, des noms d’utilisateur, des PPP secrets ou tâches planifiées provenant des CIO à la fin de cet article ; dans l’affirmative, supprimez-les. Commencez avec le planificateur car ces tâches pourraient être réexécutées, ce qui entraîne une reconfiguration du routeur.

Désactivez le proxy Web et SOCKS (si vous n’en avez pas besoin ou vérifiez leur configuration autrement) et vérifiez les règles du pare-feu .

Dans le menu Outils, vérifiez le renifleur de paquets .

Si vous n’utilisez pas la fonctionnalité du serveur PPTP , désactivez cette option.

Vérifiez tous les comptes utilisateurs, supprimez tous les comptes suspects et définissez un mot de passe fort pour le reste d’entre eux.
Maintenant, METTEZ À JOUR LE FIRMWARE du routeur à la dernière version version.

CIO

domaines :

gazanew.com mining711.com srcip.com src-ips.com srcips.com hostingcloud.science meaghan.pythonanywhere.com

noms des tâches planifiées :

DDNS CRTDN UPDDN Setchedule_ UPD système ip un

Comptes d’utilisateurs connus pour être connectés à des campagnes :U

toto dodo

fichiers sur le routeur :

i113.rsc i114.rsc I116.RSC exsvc.rsc

Cryptomining
Malware
Internet des objets

Vérifiez 0 commentaires ou écrivez votre commentaire Auteur : Threat Intelligence Team — Martin Hron et David Jursa, 18 octobre 2018

Il s’agit d’un article syndiqué de Silver Software Distribution, distributeurs d’AVG et d’Avast en Afrique. Lisez l’original sur : Blog | Avast 2018-10-18