已经确定了一种新的网络安全威胁,名为“墨鱼”,针对企业级和小型办公室/家庭办公室(SOHO)路由器。发现的恶意软件旨在监视数据流量并窃取身份验证信息,从而为网络安全带来重大风险。
您该怎么做才能避免这种威胁?
墨鱼恶意软件的概述
由Lumen Technologies的黑莲花实验室(Black Lotus Labs)发现,墨鱼能够在受感染的路由器上创建秘密代理或VPN隧道。这使其可以谨慎地淘汰数据,从而规避通常标志着异常签名的安全协议。它还具有DNS和HTTP劫持的功能,可能导致将进一步的恶意有效载荷部署在网络中。
墨鱼如何感染网络
而墨西哥鱼代码的某些方面也相似裂变,与中国国家利益相关的恶意软件,尚未建立直接联系。 Black Lotus Labs将恶意软件的活动追溯到至少2023年7月,目前主要在土耳其活动的集中活动。
根据易怒的计算机,路由器感染的确切方法尚不清楚,但它可能利用已知的漏洞或对弱凭证对蛮力攻击。
安装后,墨鱼将部署一个bash脚本,将路由器数据收集并发送给攻击者,然后下载并执行主要有效负载。该有效负载直接从内存中运行以避免检测,从而删除可能用于法医分析的任何文件。
墨鱼的监测机制
执行后,墨鱼过滤所有路由器连接,积极搜索与预定义的“凭据标记”相匹配的数据。其中包括用户名,密码和令牌,尤其是与AWS,数字海洋等公共云服务相关的用户名。
通过在运输中捕获这些凭据,攻击者可以潜在地访问敏感的云存储数据,而无需在更传统的网络环境中找到通常的记录或控件。
“捕获运输中的凭据可以使威胁参与者从云资源中复制与传统网络外围相同类型的记录或控件的数据,”黑莲花实验室在报告。
防御措施针对墨鱼:您需要做什么
对于企业:
增强凭据:确保所有网络设备凭据都稳健且定期更新。
监视异常活动:请留意奇数登录尝试,尤其是来自住宅IP地址的登录尝试。
实施安全的流量协议:使用TLS/SSL在运输中加密数据。
常规设备检查:检查是否存在异常的系统文件或配置,并定期重新启动设备以清除潜在的恶意软件。
使用高级身份验证方法:远程访问关键资产时,使用诸如固定证书之类的技术来增强安全性。
适用于家庭用户:
定期更新和重新启动:将路由器的固件保持最新,并定期重新启动以破坏任何潜在的恶意软件。
更改默认密码:用强,唯一的密码替换默认凭据。
禁用远程管理:阻止远程访问路由器的管理接口,以防止外部操作。
设备更换:考虑更换路由器,因为它们达到了寿命末期,以使新车型的安全功能得到改善。
没有强大的安全性,墨鱼可以轻松地利用网络设备而无需付出额外的努力。它可以毫不费力地虹吸敏感的数据并逃避安全墙。
专家建议,个人用户和组织都采用全面的安全策略来保护自己免受这种威胁。
