近幾年,我們已經(jīng)看到了很多關(guān)于家庭路由器遭受攻擊的報(bào)道�����。攻擊路由器的惡意軟件會(huì)將用戶(hù)的上網(wǎng)訪問(wèn)重定向到各種惡意站點(diǎn),其他的攻擊方式還包括植入后門(mén)和DNS劫持����。在這些攻擊中,攻擊者針對(duì)家庭網(wǎng)絡(luò)的攻擊意圖和目的表現(xiàn)得非常明顯�����。
惡意軟件攻擊流程
本文分析了一個(gè)名為T(mén)ROJ_VICEPASS.A的惡意軟件���。首先�����,它會(huì)偽裝成網(wǎng)站上的一個(gè)Adobe Flash更新文件���,并誘導(dǎo)訪問(wèn)者下載并安裝。一旦被執(zhí)行���,它將試圖連接家庭路由器�����,并搜索網(wǎng)絡(luò)中所有的聯(lián)網(wǎng)設(shè)備��。然后����,它會(huì)利用預(yù)先準(zhǔn)備的賬號(hào)和密碼嘗試登錄這些聯(lián)網(wǎng)設(shè)備,并獲取敏感數(shù)據(jù)�����;最后�,它將偷竊的數(shù)據(jù)發(fā)送至遠(yuǎn)程服務(wù)器,然后將自己從電腦上刪除���。
圖1是該惡意軟件的感染流程圖��。
圖1 惡意軟件感染鏈
深入分析
當(dāng)訪問(wèn)惡意網(wǎng)站時(shí)�����,如果這些網(wǎng)站已被植入假的Flash更新文件����,那么用戶(hù)將很可能遇到惡意軟件TROJ_VICEPASS.A�����。通常情況下,網(wǎng)站會(huì)建議訪問(wèn)者下載并安裝這個(gè)Flash更新文件���。
圖2 被植入假的Adobe Flash更新文件的站點(diǎn)
圖3 假的Flash更新
一旦惡意軟件被執(zhí)行,它將試圖使用一個(gè)預(yù)先準(zhǔn)備的用戶(hù)名和密碼列表���,通過(guò)管理控制臺(tái)連接到路由器���。如果連接成功,惡意軟件會(huì)試圖掃描整個(gè)網(wǎng)絡(luò)來(lái)尋找所有已連接的設(shè)備��。
圖4 搜索連接的設(shè)備
惡意軟件使用的用戶(hù)名列表:
admin
Admin
administrator
Administrator
bbsd-client
blank
cmaker
d-link
D-Link
guest
hsa
netrangr
root
supervisor
user
webadmin
wlse
惡意軟件使用的密碼列表:
小編推薦閱讀
