TheMoon 恶意软件短时间感染 6,000 台华硕路由器以获取代理服务

本文主要是介绍TheMoon 恶意软件短时间感染 6,000 台华硕路由器以获取代理服务,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

    • 针对华硕路由器
    • Faceless代理服务
    • 预防措施

一种名为"TheMoon"的新变种恶意软件僵尸网络已经被发现正在侵入全球88个国家数千台过时的小型办公室与家庭办公室(SOHO)路由器以及物联网设备。

"TheMoon"与“Faceless”代理服务有关联,该服务利用部分被感染设备充当代理服务器,为想要匿名进行恶意活动的网络犯罪分子转发流量。

黑莲花实验室的研究人员一直在监测始于2024年3月初的最新一轮TheMoon攻击活动,并在72小时内观察到至少6000台华硕(ASUS)路由器成为攻击目标。

威胁分析专家报告指出,目前诸如IcedID和SolarMarker等恶意软件行动正利用该代理僵尸网络混淆其在线活动以掩盖踪迹。
在这里插入图片描述

针对华硕路由器

"TheMoon"早在2014年就被研究人员首次发现,当时警告称该恶意软件正在利用漏洞感染LinkSys设备。

最近的一轮恶意软件攻击活动中,在短短一周内就有近7000台设备被感染,黑莲花实验室表示其主要
目标是华硕路由器。

通过Lumen公司的全球网络监控能力,黑莲花实验室已经识别出“Faceless”代理服务的逻辑结构图,其中一场始于2024年3月第一周的攻击活动,在不到72小时的时间里就瞄准并成功感染了超过6000台华硕路由器。

尽管研究人员并未明确说明用于突破华硕路由器的确切方法,但鉴于这些遭攻击的设备型号已达到生命周期末期,攻击者很可能利用的是固件中存在的已知漏洞。
攻击者可能还会采用暴力破解手段尝试获取管理员密码,或是测试默认及弱口令凭据。

一旦恶意软件成功进入设备,它会检查是否存在特定的shell环境(例如"/bin/bash"、“/bin/ash"或”/bin/sh"),如果不存在,则停止执行。

若检测到兼容的shell环境,加载器将解密、释放并执行一个名为".nttpd"的payload,这个payload会在运行时创建一个带有版本号(目前为26)的PID文件。

接下来,恶意软件设置iptables规则,拒绝所有进来的TCP端口8080和80的流量,同时允许特定IP范围内的流量通过。这一策略确保了被控制的设备免受外部干扰。

随后,恶意软件尝试连接一系列合法的NTP服务器,以检测沙箱环境并验证互联网连接状况。

最后,恶意软件通过循环遍历一组硬编码的IP地址来连接命令与控制(C2)服务器,C2服务器则回应相应的指令。

在某些情况下,C2服务器可能会指示恶意软件获取额外组件,比如蠕虫模块,该模块用于扫描端口80和8080上的易受攻击的Web服务器,或者“.sox”文件,它们在被感染设备上进行流量代理。
在这里插入图片描述

Faceless代理服务

“Faceless”是一个网络犯罪代理服务,专门为那些仅使用加密货币支付的客户提供服务,通过利用受损设备路由网络流量。该服务并不执行“了解你的客户”(KYC)身份验证流程,因此对任何人开放使用。
在这里插入图片描述
为了防止其基础设施被研究人员追踪,“Faceless”运营者确保每个被感染的设备在整个感染期间仅与一台服务器通信。

黑莲花实验室报告显示,三分之一的感染持续时间超过50天,而有15%的感染在48小时内即被清除。这意味着后者的监控更加到位,且能够快速检测到设备被入侵的情况。
在这里插入图片描述
虽然"TheMoon"与"Faceless"之间存在明显的关联,但这两种操作似乎是独立的网络犯罪生态系统,因为并非所有恶意软件感染都会成为“Faceless”代理僵尸网络的一部分。

预防措施

为了防御此类僵尸网络,建议:

  1. 使用强密码作为管理员账户。
  2. 将设备固件升级至最新版本以修复已知漏洞。
  3. 若设备已达到使用寿命终点(EoL),应更换为仍在提供支持的新型号。ASUS 路由器EOL查询链接:https://www.asus.com/event/network/EOL-product/

路由器和物联网设备遭受恶意软件感染的一些常见迹象包括网络连接问题、设备过热以及设置出现异常更改。

这篇关于TheMoon 恶意软件短时间感染 6,000 台华硕路由器以获取代理服务的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/858319

相关文章

C# foreach 循环中获取索引的实现方式

《C#foreach循环中获取索引的实现方式》:本文主要介绍C#foreach循环中获取索引的实现方式,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录一、手动维护索引变量二、LINQ Select + 元组解构三、扩展方法封装索引四、使用 for 循环替代

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文

Vue3组件中getCurrentInstance()获取App实例,但是返回null的解决方案

《Vue3组件中getCurrentInstance()获取App实例,但是返回null的解决方案》:本文主要介绍Vue3组件中getCurrentInstance()获取App实例,但是返回nu... 目录vue3组件中getCurrentInstajavascriptnce()获取App实例,但是返回n

售价599元起! 华为路由器X1/Pro发布 配置与区别一览

《售价599元起!华为路由器X1/Pro发布配置与区别一览》华为路由器X1/Pro发布,有朋友留言问华为路由X1和X1Pro怎么选择,关于这个问题,本期图文将对这二款路由器做了期参数对比,大家看... 华为路由 X1 系列已经正式发布并开启预售,将在 4 月 25 日 10:08 正式开售,两款产品分别为华

SpringMVC获取请求参数的方法

《SpringMVC获取请求参数的方法》:本文主要介绍SpringMVC获取请求参数的方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下... 目录1、通过ServletAPI获取2、通过控制器方法的形参获取请求参数3、@RequestParam4、@

Python获取C++中返回的char*字段的两种思路

《Python获取C++中返回的char*字段的两种思路》有时候需要获取C++函数中返回来的不定长的char*字符串,本文小编为大家找到了两种解决问题的思路,感兴趣的小伙伴可以跟随小编一起学习一下... 有时候需要获取C++函数中返回来的不定长的char*字符串,目前我找到两种解决问题的思路,具体实现如下:

golang获取当前时间、时间戳和时间字符串及它们之间的相互转换方法

《golang获取当前时间、时间戳和时间字符串及它们之间的相互转换方法》:本文主要介绍golang获取当前时间、时间戳和时间字符串及它们之间的相互转换,本文通过实例代码给大家介绍的非常详细,感兴趣... 目录1、获取当前时间2、获取当前时间戳3、获取当前时间的字符串格式4、它们之间的相互转化上篇文章给大家介

Python获取中国节假日数据记录入JSON文件

《Python获取中国节假日数据记录入JSON文件》项目系统内置的日历应用为了提升用户体验,特别设置了在调休日期显示“休”的UI图标功能,那么问题是这些调休数据从哪里来呢?我尝试一种更为智能的方法:P... 目录节假日数据获取存入jsON文件节假日数据读取封装完整代码项目系统内置的日历应用为了提升用户体验,

微信公众号脚本-获取热搜自动新建草稿并发布文章

《微信公众号脚本-获取热搜自动新建草稿并发布文章》本来想写一个自动化发布微信公众号的小绿书的脚本,但是微信公众号官网没有小绿书的接口,那就写一个获取热搜微信普通文章的脚本吧,:本文主要介绍微信公众... 目录介绍思路前期准备环境要求获取接口token获取热搜获取热搜数据下载热搜图片给图片加上标题文字上传图片

使用Python实现获取网页指定内容

《使用Python实现获取网页指定内容》在当今互联网时代,网页数据抓取是一项非常重要的技能,本文将带你从零开始学习如何使用Python获取网页中的指定内容,希望对大家有所帮助... 目录引言1. 网页抓取的基本概念2. python中的网页抓取库3. 安装必要的库4. 发送HTTP请求并获取网页内容5. 解