ESET的安全研究員發(fā)表了一篇技術(shù)報告，報告中詳細(xì)分析了一個新的蠕蟲Linux/Moose。它的攻擊對象主要是調(diào)制解調(diào)器、家用路由器和其他嵌入式計算機，可將這些設(shè)備變成一個代理網(wǎng)絡(luò)，然后創(chuàng)建偽造的社交賬號實施欺詐行為。

該惡意程序是由Olivier Bilodeau和Thomas Dupuy發(fā)現(xiàn)的，它會感染基于Linux的路由器和其他基于Linux系統(tǒng)的設(shè)備。如果它發(fā)現(xiàn)有其他的惡意程序和它爭奪路由器的有限資源，會將其清除，然后繼續(xù)尋找下一個感染目標(biāo)。

Moose蠕蟲不會利用路由器上存在的任何漏洞，它只會攻擊那些配置較低并且還使用弱密碼登錄憑證的設(shè)備。這也意味著不僅僅是路由器會感染這種蠕蟲，其他的設(shè)備也可能會感染，甚至是醫(yī)療設(shè)備。

當(dāng)然最受影響設(shè)備還是路由器，涉及的路由器品牌有：Actiontec、Hik Vision、Netgear、Synology、TP-Link、ZyXEL和Zhone。

Moose蠕蟲分析

下圖標(biāo)中列出了Moose的功能：

在對僵尸網(wǎng)絡(luò)的監(jiān)控中，我們發(fā)現(xiàn)這種惡意軟件可以從熱門的社交網(wǎng)站中竊取未經(jīng)過加密的HTTP Cookies，并且還可執(zhí)行各種欺詐活動……例如“關(guān)注”等。

#p#

下面就是我們從惡意程序所在的代理服務(wù)器上抓取的HTTP請求：

值得我們研究的是服務(wù)器更新機制是怎樣和HTTPS進(jìn)行連接的。但是它幾乎所有的流量都是通過HTTPS進(jìn)行加密，所以我們沒辦法看到攻擊者執(zhí)行的具體操作。

通過使用HTTPS通信中TLS握手的證書主題字段，我們可以確定目標(biāo)社交網(wǎng)站的域名。

下圖繪制出了某路由器每天向某社交網(wǎng)站發(fā)送的請求：

通過對一個被感染主機長達(dá)一個月的監(jiān)視，我們發(fā)現(xiàn)它的流量主要會流向下面的社交網(wǎng)站：

Fotki (Yandex)

Instagram (Facebook)

Live (Microsoft)

Soundcloud

Twitter

Vine

Yahoo

Youtube (Google)

從下圖中可以看出最易成為目標(biāo)的社交網(wǎng)站是twitter、instagram、soundcloud。

在分析時，我們經(jīng)常問自己：難道他們付出了那么大的努力就是為了連接到社交網(wǎng)絡(luò)?當(dāng)然不排除說，關(guān)注、點贊、閱讀量等還是有一定的市場的。所以攻擊者也可能是為了賺錢更多的閱讀量或者關(guān)注度而開發(fā)的這個病毒。

Moose蠕蟲還能劫持路由器的DNS，將DNS請求路由到一個惡意服務(wù)器，竊取未加密的社交媒體cookies，然后再用cookies去關(guān)注虛假賬戶。

研究者們已經(jīng)將該惡意程序的研究代碼全部公開了。

防御措施

如果受害者發(fā)現(xiàn)其設(shè)備感染了這一病毒，應(yīng)重啟受害者設(shè)備，然后盡快的更改密碼。然而需要注意的是，攻擊者還是可以通過已知的受害者訪問憑證訪問受害系統(tǒng)，因為惡意程序已經(jīng)知道了目標(biāo)系統(tǒng)的IP地址，并且他們還有很多的方法訪問受感染系統(tǒng)的交互式控制平臺。他們很可能會人為的訪問，這也就意味著系統(tǒng)會被進(jìn)一步的感染，比如說永久修改固件。對此用戶最好將設(shè)備恢復(fù)出廠設(shè)置，固件升級，重裝系統(tǒng)，修改密碼。

即使你的設(shè)備沒有聯(lián)網(wǎng)，也要更改默認(rèn)密碼。如果可以的話，禁用telnet登錄，使用SSH。確保你的路由器不能通過22(SSH)、23(Telnet)、80(HTTP)、443(HTTPS)網(wǎng)絡(luò)端口進(jìn)行訪問。如果你不知道如何測試你的設(shè)備有沒有連接這些端口，你可以使用ShieldsUP service from GRC.com的“常用端口”對系統(tǒng)進(jìn)行掃描，以確保上述的幾個端口是關(guān)閉的。完整報告點我!