近幾年���,我們已經(jīng)看到了很多關于家庭路由器遭受攻擊的報道����。攻擊路由器的惡意軟件會將用戶的上網(wǎng)訪問重定向到各種惡意站點�,其他的攻擊方式還包括植入后門和DNS劫持���。在這些攻擊中����,攻擊者針對家庭網(wǎng)絡的攻擊意圖和目的表現(xiàn)得非常明顯����。
惡意軟件攻擊流程
本文分析了一個名為TROJ_VICEPASS.A的惡意軟件。首先�,它會偽裝成網(wǎng)站上的一個Adobe Flash更新文件,并誘導訪問者下載并安裝��。一旦被執(zhí)行���,它將試圖連接家庭路由器����,并搜索網(wǎng)絡中所有的聯(lián)網(wǎng)設備�����。然后��,它會利用預先準備的賬號和密碼嘗試登錄這些聯(lián)網(wǎng)設備�����,并獲取敏感數(shù)據(jù)����;最后,它將偷竊的數(shù)據(jù)發(fā)送至遠程服務器�����,然后將自己從電腦上刪除����。
圖1是該惡意軟件的感染流程圖。
圖1 惡意軟件感染鏈
深入分析
當訪問惡意網(wǎng)站時�,如果這些網(wǎng)站已被植入假的Flash更新文件,那么用戶將很可能遇到惡意軟件TROJ_VICEPASS.A�����。通常情況下,網(wǎng)站會建議訪問者下載并安裝這個Flash更新文件����。
圖2 被植入假的Adobe Flash更新文件的站點
圖3 假的Flash更新
一旦惡意軟件被執(zhí)行,它將試圖使用一個預先準備的用戶名和密碼列表��,通過管理控制臺連接到路由器���。如果連接成功�����,惡意軟件會試圖掃描整個網(wǎng)絡來尋找所有已連接的設備����。
圖4 搜索連接的設備
惡意軟件使用的用戶名列表:
admin
Admin
administrator
Administrator
bbsd-client
blank
cmaker
d-link
D-Link
guest
hsa
netrangr
root
supervisor
user
webadmin
wlse
惡意軟件使用的密碼列表:
小編推薦閱讀
