窥探家庭网络的恶意木马

近几年，我们已经看到了很多关于家庭路由器遭受攻击的报道。攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点，其他的攻击方式还包括植入后门和DNS劫持。在这些攻击中，攻击者针对家庭网络的攻击意图和目的表现得非常明显。

恶意软件攻击流程

本文分析了一个名为TROJ_VICEPASS.A的恶意软件。首先，它会伪装成网站上的一个Adobe Flash更新文件，并诱导访问者下载并安装。一旦被执行，它将试图连接家庭路由器，并搜索网络中所有的联网设备。然后，它会利用预先准备的账号和密码尝试登录这些联网设备，并获取敏感数据；最后，它将偷窃的数据发送至远程服务器，然后将自己从电脑上删除。

图1是该恶意软件的感染流程图。

图1 恶意软件感染链

深入分析

当访问恶意网站时，如果这些网站已被植入假的Flash更新文件，那么用户将很可能遇到恶意软件TROJ_VICEPASS.A。通常情况下，网站会建议访问者下载并安装这个Flash更新文件。

图2 被植入假的Adobe Flash更新文件的站点

图3 假的Flash更新

一旦恶意软件被执行，它将试图使用一个预先准备的用户名和密码列表，通过管理控制台连接到路由器。如果连接成功，恶意软件会试图扫描整个网络来寻找所有已连接的设备。

图4 搜索连接的设备

恶意软件使用的用户名列表：

admin Admin administrator Administrator bbsd-client blank cmaker d-link D-Link guest hsa netrangr root supervisor user webadmin wlse

恶意软件使用的密码列表：

_Cisco 0000 000000 1000 1111 111111 1111111 11111111 111111111 112233 1212 121212 123123 123123Aa 123321 1234 12345 123456 1234567 12345678 123456789 1234567890 1234qwer 123ewq 123qwe 131313 159753 1q2w3e4r 1q2w3e4r5t 1q2w3e4r5t6y7u8i9o0p 1qaz2wsx 2000 2112 2222 222222 232323 321123 321321 3333 4444 654321 666666 6969 7777 777777 7777777 88888888 987654 987654321 999999999 abc123 abc123 abcdef access adm admin Admin Administrator alpine Amd angel asdfgh attack baseball batman blender career changeme changeme2 Cisco cisco cmaker connect default diamond D-Link dragon ewq123 ewq321 football gfhjkm god hsadb ilove iloveyou internet Internet jesus job killer klaster letmein link marina master monkey mustang newpass passwd password password0 password1 pepper pnadmin private public qazwsx qwaszx qwe123 qwe321 qweasd qweasdzxc qweqwe qwerty qwerty123 qwertyuiop ripeop riverhead root secret secur4u sex shadow sky superman supervisor system target123 the tinkle tivonpw user User wisedb work zaq123wsx zaq12wsx zaq1wsx zxcv zxcvb zxcvbn zxcvbnm

需要指出的是，恶意软件使用HTTP协议来扫描并搜寻联网设备，扫描的IP地址范围是192.168.[0-6].0—192.168.[0-6].11，这些IP地址一般都会用作路由器IP地址。搜索路由器的打印日志如下所示：

Find router IP address – start Searching in 192.168.0.0 – 192.168.0.11 [0] connect to 192.168. 0.0 URL: ‘192.168.0.0’, METHOD: ‘1’, DEVICE: ‘Apple’ …. (skip) Find router IP address – end

我们注意到恶意软件会检测苹果设备，例如iPhone和iPad，而它们设备并没有开放的HTTP端口。然而，需要注意的是，从这些字符串可以看出，它更加关注路由器。我们发现恶意软件使用以下名字搜索路由器等设备：

dlink d-link laserjet apache cisco gigaset asus apple iphone ipad logitech samsung xbox

图5 搜索苹果设备

一旦恶意软件对网络中的设备搜索结束，它会利用base64编码和一个自定义的加密算法对搜索结果加密。然后，通过HTTP协议将加密后的结果发送到一个远程C&C服务器。

图6 加密搜索结果

图7 发送结果到C&C服务器

恶意软件成功发送结果之后，就从受害者电脑上自我删除，并清除它的任何踪迹。攻击者使用下面的命令来实现这些操作：

exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”

相关文件哈希：

a375365f01fc765a6cf7f20b93f13364604f2605

猜测：可能是攻击活动的“先行军”

根据恶意软件的行为可猜测，它可能只是攻击者用来收集情报的先行部队，这些信息很可能会被用来发动一场大型恶意活动。收集来的信息可能会被存储并用作以后的跨站请求伪造(CSRF)等攻击，因为如果攻击者手中已经有了特定IP的登录凭证，那么以后的攻击将变得更加容易。当然，我们并不十分确定，但是考虑到该恶意软件的执行流程以及行为表现，这似乎是最有可能发生的场景。

安全建议

无论攻击者的最终目标是什么，这个恶意软件都向我们展示了设备安全的重要性，即使那些不太可能成为目标的设备也需要关注其安全。所以，用户应该经常修改路由器的登录凭证，最好设置成强密码。此外，用户还可以选择密码管理软件来帮助他们管理所有的密码。

除了良好的密码习惯，用户还应该永远记住其他的安全措施。例如，他们应该尽可能避免点击邮件中的不明链接。如果他们需要访问一个站点，最好直接输入网址或者使用一个书签。如果他们的软件需要升级，那么可以直接访问软件的官方网站去下载。此外，也可以选择设定软件自动安装更新。最后，用户应该采取安全措施来保护他们的设备。

标题名称：窥探家庭网络的恶意木马
URL标题：http://www.hantingmc.com/qtweb/news12/334262.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联