Jelenlegi hely

Cryptojacking tevékenység MikroTik routerek segítségével

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet az INTERPOL Kiberbűnözés Elleni Igazgatóság műveleti munkája során azonosított, illegális kriptobányász tevékenységgel összefüggésben keletkezett információi alapján tájékoztatót ad ki MikroTik eszközök sérülékenységét kihasználó cryptojacking tevékenységről.

Ismeretlen személyek világszerte számos információs rendszer ellen követnek el cryptojacking támadásokat, azaz a kriptovaluta-bányászatnak az illegális módját választva a felhasználók tudta és beleegyezése nélkül használják fel azok számítógépének erőforrásait kriptobányász tevékenységükhöz. Az ismeretlen személyek úgy hajtják végre a támadást, hogy a kiszemelt MikroTik routerbe, annak sérülékenységét kihasználva kártékony kódot juttatnak, így amikor a felhasználó számítógépe csatlakozik a routerhez, a kártékony kód közvetítésével, úgynevezett érme-bányász szkriptet juttatnak a gépbe, ezzel megfertőzve és a cryptojacking tevékenység szolgálatába állítva azt.

Az érme-bányász szkriptek közvetlenül, vagy malware útján, a kritikus biztonsági rést kihasználva kerülnek a MikroTik eszközökre. A parancsfájlok útválasztóba történő bejuttatását követően a bányász szkript működésbe lép a készülékhez csatlakoztatott bármely eszközön, függetlenül attól, hogy vezetékes vagy vezeték nélkül csatlakozik. A parancsfájl a csatlakoztatott eszközöknek utasítást ad, hogy nyisson meg egy, a felhasználó számára nem látható böngésző oldalt, ahol elindul az érme-bányászat folyamata.

A sérülékenység javítását célzó biztonsági frissítést a gyártó elérhetővé tette 2018. április hónapban, ugyanakkor az INTERPOL elemzése alapján világszerte több mint 110.000 db kompromittálódott eszközt detektáltak és közel 300 db olyan eszközt, amelyeket arra használtak fel a támadók, hogy további eszközöket derítsenek fel, majd fertőzzenek meg.

A vizsgálatok során megállapítást nyert, hogy a malware minták az alábbiakban felsorolt lépések szerint működnek:

  1. A kártékony kód egy hibaüzenetet jelenít meg, miszerint az áldozat böngészője elavult.
  2. Naplózza a böngésző adatait, operációs rendszert, IP címet, geolokációs adatokat.
  3. A kártékony kód legfeljebb 600 szálon indít szkennelést, ahol új, sebezhető útválasztókat keres a fertőzéshez.
  4. Véletlenszerű IP címeken és IP tartományokon keres MikroTik eszközöket, majd ha a vizsgálat lezárult, egy végtelen hurokba fordul a folyamat.
  5. Megpróbál csatlakozni a 8291-es porthoz, amely az alapértelmezett port a MikroTik routerek kezelésére szolgáló Winbox alkalmazáshoz.
  6. Sikeres kapcsolódást követően megpróbál csatlakozni véletlenszerű portokhoz az 56778-56887 tartományban.
  7. A CVE-2018-14847 számú kritikus sérülékenységet kihasználva kinyeri az eszköz admin felhasználójának jelszavát, majd létrehoz egy „option” csomagot, hogy engedélyezze a fejlesztői backdoort.
  8. Az előző folyamatok sikeres lefutását követően Telnet vagy SSH kapcsolaton keresztül a „dircreate” felhasználóval, jelszóval csatlakozhat az eszközhöz.
  9. A MikroTik RouterOS-hez kapcsolódó bejelentkezési hitelesítő adatokat lekéri és visszafejti.
  10. Ezt követően ütemezett feladatot hoz létre egy olyan parancsfájl futtatásához, amely a felhasználó által megnyitni kívánt URL címet mindig egy JavaScript alapú bányászati szkriptet tartalmazó rejtett oldalba foglalva jelenít meg.
  11. A hibaoldalak webproxy / error.html vagy flash / webproxy / error.html formátumúak lehetnek.

Indikátorok (IoC):

  • Vezérlő szerver (C2/C&C)
    • min01[.]net
    • min01[.]com
    • mikr0tik[.]com
    • Iplogger[.]co
    • gotan[.]bit
    • up0[.]bit
  • Malware
    • upd_browser.exe
    • browser_upd.exe
    • upd_browser.exe

Intézetünk az esettel kapcsolatban javasolja az alábbi intézkedések megtételét:

  • A MikroTik eszközök ellenőrzését, szükség esetén a frissítések telepítését (Winbox és RouterOS).
  • A router kezeléséhez kapcsolódó felhasználói fiókok jelszavainak megváltoztatását.
  • Az útválasztó Winbox alkalmazáson keresztüli eléréséhez nyitott port nyilvános hálózatból történő tiltása.
  • Nyitott portok felülvizsgálata, a szükségtelen portok bezárása, a szükséges portok fokozott felügyelete, naplózása.
  • A gyakori portok internet irányából történő elérésének korlátozása (megadott IP címekről, bizonyos felhasználók számára).
  • Üzemeltetéshez használt portok (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) külső hálózatból történő elérésének tiltása, üzemeltetési feladatok ellátásához javasolt a rendszerek VPN kapcsolaton keresztül történő elérése.
  • Határvédelmi rendszerek szoftvereinek naprakészen tartása.
  • Határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
  • A szükségtelen felhasználók felfüggesztése, a távoli eléréssel rendelkező felhasználók szükséges mértékre történő csökkentése, felhasználók jogosultságainak időszakos felülvizsgálata.
  • Jelszavak kötelező periodikus cseréje, szigorú jelszóházirend alkalmazása mellett.
  • Az incidens bejelentését az NBSZ NKI részére a cert@govcert.hu e-mail címen.

További információk: