Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania

Blog

Botnet MikroTik wykorzystywał słabe konfiguracje SPF, fałszując 20 000 domen w celu uruchomienia szeroko zakrojonych kampanii malspamowych.

YunesTarada

Ostatnia aktualizacja:
4 czas czytania: 4 minuty
Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania
Spis treści-

Najnowsze wiadomości dotyczące cyberbezpieczeństwa, Infoblox Threat Intel odkrył botnet atakujący 13 000 urządzeń MikroTik! Botnet wykorzystywał luki w konfiguracji rekordów DNS SPF, aby ominąć zabezpieczenia poczty e-mail. Po exploicie botnet sfałszował około 20 000 domen internetowych w celu rozprzestrzeniania złośliwego oprogramowania.

Kluczowe wnioski

  1. Botnet wykorzystujący 13 000 urządzeń MikroTik podkreślił krytyczny wpływ błędnej konfiguracji SPF w cyberatakach.
  2. Dozwolone konfiguracje SPF pozwalały atakującym na ominięcie uwierzytelniania wiadomości e-mail i rozprzestrzenianie złośliwego oprogramowania za pośrednictwem fałszywych domen.
  3. Kampania opierała się na fałszywych wiadomościach e-mail zawierających pliki ZIP ze złośliwym oprogramowaniem, które infekowały komputery niczego niepodejrzewających użytkowników.
  4. Regularny audyt rekordów DNS i unikanie zbyt liberalnych konfiguracji SPF są niezbędne do zwiększenia bezpieczeństwa poczty e-mail.
  5. Wykorzystanie zautomatyzowanych narzędzi do sprawdzania SPF może uprościć proces utrzymywania bezpiecznych rekordów SPF dla właścicieli domen.

Dlaczego botnety są trwałym zagrożeniem?

Botnety to sieć zainfekowanych urządzeń, które są zdalnie manipulowane i kontrolowane przez podmioty stanowiące zagrożenie. Botnety od wieków stanowią trwałe zagrożenie dla cyberbezpieczeństwa. Mają one szeroko rozproszony charakter, co czyni je łatwym wektorem do rozprzestrzeniania złośliwych działań na dużą skalę. 

Botnety były w przeszłości odpowiedzialne za następujące działania:

 

  • Ataki DDoS(Distributed Denial of Service)ataki DDoS (Distributed Den Service Attacks), mające na celu przeciążenie sieci celu i zawieszenie usług lub odwrócenie uwagi obrońców.
  • Kampanie spamowe i phishingowe, zalewają skrzynki odbiorcze złośliwymi wiadomościami e-mail w celu kradzieży poufnych informacji lub rozprzestrzeniania złośliwego oprogramowania.
  • Credential Stuffing aby zautomatyzować próby logowania przy użyciu skradzionych danych uwierzytelniających.
  • Kradzież danych Wyłudzanie danych osobowych lub firmowych dla zysku lub dalszych ataków.
  • Cryptojackingto przejęcie zasobów urządzenia w celu wydobywania kryptowaluty.
  • Sieci proxy i oszustwa związane z kliknięciamiczyli działanie polegające na ukrywaniu lokalizacji atakujących i oszukiwaniu reklamodawców.

W ostatniej kampanii spamowej złośliwego oprogramowania wykrytej przez Infoblox, botnety wykorzystywały ponad 13 000 zainfekowanych routerów MikroTik. Jest to rosnący problem dla branży cyberbezpieczeństwa.

Uprość bezpieczeństwo z PowerDMARC!

15-dniowy trialZamów demo

Anatomia kampanii złośliwego oprogramowania

Spam dotyczący faktur frachtowych

Pod koniec listopada 2024 r. kampania rozpoczęła się, gdy Infoblox wykrył kampanię spamową dotyczącą faktur. Wysyłano wiadomości spamowe podszywające się pod faktury za usługi kurierskie DHL, z plikami ZIP zawierającymi złośliwe ładunki JavaScript. Plik Załączniki ZIP miały spójne konwencje nazewnictwa, takie jak:

  • Faktura (2-3-cyfrowy numer).zip
  • Śledzenie (2-3-cyfrowy numer).zip

Analiza ładunku

Pliki ZIP, czyli pliki JavaScript, wykonywały skrypty Powershell. Łączyły się one ze złośliwym serwerem dowodzenia i kontroli (C2), który był hostowany pod podejrzanym adresem IP. Adres IP miał historię wcześniejszych złośliwych działań w sieci. W ten sposób botnet stworzył sieć, która zainicjowała łańcuch dystrybucji złośliwego oprogramowania trojańskiego. 

Jak włamano się do routerów MikroTik? 

Według dochodzenia przeprowadzonego przez Infoblox, ponad 13 000 routerów MikroTik zostało przejętych przez botnet. Routery te zostały skonfigurowane jako serwery proxy SOCKS. To maskowało ich pochodzenie, czyniąc je niemożliwymi do zidentyfikowania. 

Routery MikroTik były łatwym celem dla botnetu ze względu na ich krytyczne luki w zabezpieczeniach: 

  • Routery mają lukę w zdalnym wykonywaniu kodu, którą można łatwo wykorzystać z uwierzytelnionym dostępem.
  • Wdrożenie serwerów proxy SOCK umożliwiło podmiotom atakującym ukrycie ich oryginalnej tożsamości. 
  • Kilka urządzeń zostało dostarczonych z domyślnymi kontami "admin", zawierającymi puste hasła.

Rola błędnych konfiguracji SPF w umożliwianiu kampanii malspamowej

Odbierające serwery pocztowe uwierzytelniają legalność nadawców wiadomości e-mail za pomocą rekordów DNS TXT. Jednym z takich przykładów jest rekord SPF lub Sender Policy Framework. Jednak permisywne rekordy SPF w tysiącach domen wysyłających stanowiły lukę potrzebną atakującym do ominięcia kontroli uwierzytelniania. 

Przykład błędnie skonfigurowanych rekordów SPF

Przykład niedozwolonego rekordu SPF jest następujący:

v=spf1 include:example.domain.com -all

Powyższy przykład pozwala tylko określonym serwerom na wysyłanie wiadomości e-mail w imieniu domeny. Domeny, które nie są wyraźnie autoryzowane, nie przejdą SPF. 

Przykład permisywnego rekordu SPF jest następujący: 

v=spf1 include:example.domain.com +all

Powyższy przykład pozwala dowolnemu serwerowi wysyłać wiadomości e-mail w imieniu domeny, umożliwiając spoofing i podszywanie się. Infloblox zidentyfikował użycie permisywnych konfiguracji SPF, takich jak te, w celu uruchomienia złośliwych kampanii. 

Sprawdzanie konfiguracji SPF w celu zapobiegania exploitom

Konfiguracje SPF domeny można sprawdzić za pomocą jednej z poniższych metod: 

Wyszukiwanie ręczne 

Właściciele domen mogą wyszukiwać rekordy SPF za pomocą poleceń NSlookup lub Dig: 

  • W systemie Linux/MacOS: dig +short txt example.com | grep spf
  • W systemie Windows: nslookup -type=txt example.com | Select-String -Pattern "spf"

Automatyczne wyszukiwanie 

Prostszym sposobem na sprawdzenie konfiguracji SPF DNS jest użycie narzędzia PowerDMARC SPF checker tool.

  • Wprowadź nazwę domeny w przyborniku (np. domena.com).
  • Naciśnij przycisk "Wyszukaj" 
  • Sprawdź swoje wyniki 

To takie proste! Jest to bezproblemowy i natychmiastowy sposób na sprawdzenie SPF bez uruchamiania skryptu lub polecenia Powershell i nie wymaga wiedzy technicznej. 

Przypis końcowy: Wyciągnięte wnioski 

Zdolność botnetu do wykorzystywania luk w zabezpieczeniach DNS w celu przeprowadzania wyrafinowanych ataków spoofingowych podkreśla potrzebę przestrzegania najlepszych praktyk w zakresie bezpieczeństwa poczty elektronicznej: 

  • Właściciele domen muszą regularnie przeprowadzać audyty rekordów DNS, aby zapewnić poprawność SPF, DKIM i DMARC konfiguracje.
  • Właściciele domen muszą powstrzymać się od stosowania zbyt liberalnych polityk SPF lub DMARC przez długi czas.
  • Usunięcie lub zabezpieczenie domyślnych kont administratora na urządzeniach.
  • Włącz Raportowanie DMARC w celu monitorowania ruchu e-mail i wykrywania nieautoryzowanego dostępu.
  • Co najważniejsze, skorzystaj z usług optymalizacji makr SPF, takich jak Hosted SPF aby naprawić błędy i słabości SPF oraz łatwo dostosować się do ograniczeń SPF DNS lookup.

Odkrycie exploitów botnetu MikroTik jest świadectwem rosnących obaw związanych z wyrafinowanymi cyberatakami. Aby zachować ochronę, firmy muszą zaktualizować swój stos zabezpieczeń, aby utorować drogę nowoczesnym technologiom cyberbezpieczeństwa opartym na sztucznej inteligencji. Pozwoli im to płynnie poruszać się po krajobrazie zagrożeń, pozostając bez szwanku.

CTA

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
Ostatnia aktualizacja:
4 najlepsze alternatywy dla AutoSPF do wyboru w 2026 rokuYahoo Japan zaleca przyjęcie DMARC dla użytkowników w 2025 r.