NEITHNET 解決方案
NEITHNET 資安實驗室
美國資安業者 Lumen 於 3 月26 日發表的安全報告中指出,發現了一項駭客針對已過保固且不支援(EoL)的家庭/小型辦公室 (SOHO) 路由器,及物聯網設備的入侵行為,該入侵行為與「TheMoon」惡意殭屍軟體的息息相關。
TheMoon 出現於2014 年,一直以來悄悄在運行,但未被眾多資安專家所重視。直到2024 年2 月增長至88 個國家/地區、四萬多個機器人的規模時,才吸引到人們的眼光。這些機器人中的大多數,都被用作為網路犯罪組織的基礎。The Moon大量機器人被用作於代理伺服器,例如惡名昭彰的Faceless網路犯罪的代理服務,則使用於TheMoon的受駭機器進行殭屍網路資料傳輸,且持續每週增加近7千名新的受害者,甚至採用SolarMarker和IcedID惡意程式等殭屍網路的經營者,也採用了TheMoon的殭屍網路。
攻擊者會先以暴力破解方式,企圖找出系統使用的預設帳密或管理者密碼,一旦進入系統後,該檔案會首先檢查是否存在「/bin/bash」、「/bin/ash」或「/bin/sh」。如果沒有找到這些shell,該檔案將停止執行。如果這三個 shell 之一可用,該惡意程式將在系統產生PID名為「.nttpd」並設定其編號為26。
接下來,該惡意程式將設定IP Table,並將TCP Port 8080和80僅設定為允許特定的IP範圍可以進行連入,開始針對合法NTP進行連線,利用與NTP校時確認是否正在被沙箱偵測並企圖躲避沙箱,也同時確認是否可順利連上網際網路。最後,惡意程式依據事先載入的Faceless C2 Server IP位址進行連線,並有機會透過Port 8080 或80開始下載下一階段入侵行為的駭客工具。
以上只是受感染設備被註冊到Faceless代理服務的其中一個實例,該惡意行為的受感染被害者有不斷增長的趨勢。為了有效預防企業內不被重視且EOL的網路設備成為殭屍網路中的一環,企業其實相當需要針對內網異常行為的監控系統,能協助企業迅速了解當下的網路狀況,並在發現異常連線時,有效分析問題所在並加以解決,有助於企業大幅減少營運受到影響的時間和耗費IT人力。NEITHNET自主研發的NEITHViewer內網威脅鑑識服務,提供內網異常流量行為監控,透過網路行為與大量惡意情資,搭配富有經驗的資深網路攻擊分析師,讓內網威脅無所遁形。
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com。