已經確定了一種新的網絡安全威脅,名為“墨魚”,針對企業級和小型辦公室/家庭辦公室(SOHO)路由器。發現的惡意軟件旨在監視數據流量並竊取身份驗證信息,從而為網絡安全帶來重大風險。
您該怎麼做才能避免這種威脅?
墨魚惡意軟件的概述
由Lumen Technologies的黑蓮花實驗室(Black Lotus Labs)發現,墨魚能夠在受感染的路由器上創建秘密代理或VPN隧道。這使其可以謹慎地淘汰數據,從而規避通常標誌著異常簽名的安全協議。它還具有DNS和HTTP劫持的功能,可能導致將進一步的惡意有效載荷部署在網絡中。
墨魚如何感染網絡
而墨西哥魚代碼的某些方面也相似裂變,與中國國家利益相關的惡意軟件,尚未建立直接聯繫。 Black Lotus Labs將惡意軟件的活動追溯到至少2023年7月,目前主要在土耳其活動的集中活動。
根據易怒的計算機,路由器感染的確切方法尚不清楚,但它可能利用已知的漏洞或對弱憑證對蠻力攻擊。
安裝後,墨魚將部署一個bash腳本,將路由器數據收集並發送給攻擊者,然後下載並執行主要有效負載。該有效負載直接從內存中運行以避免檢測,從而刪除可能用於法醫分析的任何文件。
墨魚的監測機制
執行後,墨魚過濾所有路由器連接,積極搜索與預定義的“憑據標記”相匹配的數據。其中包括用戶名,密碼和令牌,尤其是與AWS,數字海洋等公共雲服務相關的用戶名。
通過在運輸中捕獲這些憑據,攻擊者可以潛在地訪問敏感的雲存儲數據,而無需在更傳統的網絡環境中找到通常的記錄或控件。
“捕獲運輸中的憑據可以使威脅參與者從雲資源中復制與傳統網絡外圍相同類型的記錄或控件的數據,”黑蓮花實驗室在報告。
防禦措施針對墨魚:您需要做什麼
對於企業:
增強憑據:確保所有網絡設備憑據都穩健且定期更新。
監視異常活動:請留意奇數登錄嘗試,尤其是來自住宅IP地址的登錄嘗試。
實施安全的流量協議:使用TLS/SSL在運輸中加密數據。
常規設備檢查:檢查是否存在異常的系統文件或配置,並定期重新啟動設備以清除潛在的惡意軟件。
使用高級身份驗證方法:遠程訪問關鍵資產時,使用諸如固定證書之類的技術來增強安全性。
適用於家庭用戶:
定期更新和重新啟動:將路由器的固件保持最新,並定期重新啟動以破壞任何潛在的惡意軟件。
更改默認密碼:用強,唯一的密碼替換默認憑據。
禁用遠程管理:阻止遠程訪問路由器的管理接口,以防止外部操作。
設備更換:考慮更換路由器,因為它們達到了壽命末期,以使新車型的安全功能得到改善。
沒有強大的安全性,墨魚可以輕鬆地利用網絡設備而無需付出額外的努力。它可以毫不費力地虹吸敏感的數據並逃避安全牆。
專家建議,個人用戶和組織都採用全面的安全策略來保護自己免受這種威脅。
