黑客利用NSA黑客工具劫持数万台计算机

作者:   360企业安全 2018/11/30 17:10:34 434次阅读 国际

4127858536a1ee26a0bfbcec612ae630.png

一年多之前,针对来自美国国家安全局(NSA)的系统漏洞,许多企业发布了补丁去修复。然而目前,仍然有数十万台计算机没有打补丁,因此很容易受到攻击。

首先,这些计算机会被用来传播勒索软件。其次,计算机可能会被用于加密货币挖矿。目前,研究人员表示,黑客正在利用泄露的工具,建设更加庞大的恶意代理网络。

信息安全巨头Akamai的新发现显示,此前报告的UPnProxy漏洞目前可以瞄准路由器防火墙背后没有打补丁的计算机。这个漏洞利用了通用即插即用网络协议。

攻击者传统上使用UPnProxy重新映射受影响路由器的端口转发设置,从而可以混淆和路由恶意流量。这些流量可用于发起分布式拒绝服务攻击(DDoS),或传播恶意软件及垃圾邮件。在大多数情况下,网络上的计算机不受影响,因为它们受到路由器的网络地址转换(NAT)规则的保护。

但现在,Akamai指出,攻击者正在使用更强大的漏洞,通过路由器感染网络中的计算机。这使得可攻击的设备范围变得大很多,并使恶意网络变得更强大。

报告作者、Akamai的查德·希曼(Chad Seaman)表示:“很不幸,我们看到UPnProxy被用来攻击此前被保护在NAT后面的系统,但实际上,这最终肯定会发生。”

这种注入攻击利用了两个漏洞:一个是由NSA发现的针对Windows计算机的后门“永恒之蓝”(EternalBlue),另一种是由Samba独立发现的“兄弟”漏洞“永恒之红”(EternalRed),后者提供了Linux设备的后门。如果UPnProxy修改了路由器上的端口映射,那么这些漏洞攻击的目标是SMB使用的服务端口。SMB是大多数计算机上使用的一种通用网络协议。

Akamai将新的攻击统称为“EternalSilence”,这导致代理网络扩展到更多易受攻击的设备。

Akamai说,超过4.5万台设备已经在这个庞大网络的控制之下。未来可能受影响的计算机要超过100万台。

“目标不是精准攻击。”希曼说,“这是一种利用现成攻击手段的尝试,在一个相对较小的池塘里撒下一张大网,希望能挖出一组以前无法利用的设备。”

但是,基于这一系列漏洞的攻击很难被检测到,这使得管理员很难知道他们的计算机是否被感染。尽管如此,对这些漏洞的修复已经有一年多的时间,但仍有数百万台设备没有打补丁,易受攻击。

易受攻击的设备数量正在下降,但希曼说,UPnProxy的新功能“是利用已知攻击方式,对一组可能没有打补丁,但以前无法利用的机器的最后一搏”。

修复这些漏洞总比什么都不做要好,但这并不是解决问题的灵丹妙药。即使禁用UPnP也不是一站式解决方案。希曼说,这“相当于堵住船上的洞,但它并不能解决水进入正在下沉的船中的问题。”

重置受影响的路由器并禁用UPnP可能会解决此问题,但希曼认为这样的路由器可能需要“完全更换”。

 

声明:本文来自TechCrunch中文版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室