Najnowsze wiadomości dotyczące cyberbezpieczeństwa, Infoblox Threat Intel odkrył botnet atakujący 13 000 urządzeń MikroTik! Botnet wykorzystywał luki w konfiguracji rekordów DNS SPF, aby ominąć zabezpieczenia poczty e-mail. Po exploicie botnet sfałszował około 20 000 domen internetowych w celu rozprzestrzeniania złośliwego oprogramowania.
Kluczowe wnioski
- Botnet włamał się do tysięcy urządzeń MikroTik w celu uruchomienia złośliwych kampanii spamowych.
- Wykorzystanie nastąpiło w wyniku permisywnego SPF używanych przez kilka domen.
- Rezultatem był szeroko zakrojony atak spoofingowy, przenoszący załączniki zawierające złośliwe oprogramowanie.
- Kluczowe wnioski obejmują unikanie permisywnych konfiguracji SPF, regularne sprawdzanie rekordów DNS i korzystanie z hostowanych usług SPF z makrami.
Dlaczego botnety są trwałym zagrożeniem?
Botnety to sieć zainfekowanych urządzeń, które są zdalnie manipulowane i kontrolowane przez podmioty stanowiące zagrożenie. Botnety od wieków stanowią trwałe zagrożenie dla cyberbezpieczeństwa. Mają one szeroko rozproszony charakter, co czyni je łatwym wektorem do rozprzestrzeniania złośliwych działań na dużą skalę.
Botnety były w przeszłości odpowiedzialne za następujące działania:
- Ataki DDoS(Distributed Denial of Service)ataki DDoS (Distributed Den Service Attacks), mające na celu przeciążenie sieci celu i zawieszenie usług lub odwrócenie uwagi obrońców.
- Kampanie spamowe i phishingowezalewają skrzynki odbiorcze złośliwymi wiadomościami e-mail w celu kradzieży poufnych informacji lub rozprzestrzeniania złośliwego oprogramowania.
- Credential Stuffing aby zautomatyzować próby logowania przy użyciu skradzionych danych uwierzytelniających.
- Kradzież danych Wyłudzanie danych osobowych lub firmowych dla zysku lub dalszych ataków.
- Cryptojackingto przejęcie zasobów urządzenia w celu wydobywania kryptowaluty.
- Sieci proxy i oszustwa związane z kliknięciamiczyli działanie polegające na ukrywaniu lokalizacji atakujących i oszukiwaniu reklamodawców.
W ostatniej kampanii spamowej złośliwego oprogramowania wykrytej przez Infoblox, botnety wykorzystywały ponad 13 000 zainfekowanych routerów MikroTik. Jest to rosnący problem dla branży cyberbezpieczeństwa.
Anatomia kampanii złośliwego oprogramowania
Spam dotyczący faktur frachtowych
Pod koniec listopada 2024 r. kampania rozpoczęła się, gdy Infoblox wykrył kampanię spamową dotyczącą faktur. Wysyłano wiadomości spamowe podszywające się pod faktury wysyłkowe DHL z plikami ZIP zawierającymi złośliwe ładunki JavaScript. Plik Załączniki ZIP miały spójne konwencje nazewnictwa, takie jak:
- Faktura (2-3-cyfrowy numer).zip
- Śledzenie (2-3-cyfrowy numer).zip
Analiza ładunku
Pliki ZIP, czyli pliki JavaScript, wykonywały skrypty Powershell. Łączyły się one ze złośliwym serwerem dowodzenia i kontroli (C2), który był hostowany pod podejrzanym adresem IP. Adres IP miał historię wcześniejszych złośliwych działań w sieci. W ten sposób botnet stworzył sieć, która zainicjowała łańcuch dystrybucji złośliwego oprogramowania trojańskiego.
Jak włamano się do routerów MikroTik?
Według dochodzenia przeprowadzonego przez Infoblox, ponad 13 000 routerów MikroTik zostało przejętych przez botnet. Routery te zostały skonfigurowane jako serwery proxy SOCKS. To maskowało ich pochodzenie, czyniąc je niemożliwymi do zidentyfikowania.
Routery MikroTik były łatwym celem dla botnetu ze względu na ich krytyczne luki w zabezpieczeniach:
- Routery mają lukę w zdalnym wykonywaniu kodu, którą można łatwo wykorzystać z uwierzytelnionym dostępem.
- Wdrożenie serwerów proxy SOCK umożliwiło podmiotom atakującym ukrycie ich oryginalnej tożsamości.
- Kilka urządzeń zostało dostarczonych z domyślnymi kontami "admin", zawierającymi puste hasła.
Rola błędnych konfiguracji SPF w umożliwianiu kampanii malspamowej
Odbierające serwery pocztowe uwierzytelniają legalność nadawców wiadomości e-mail za pomocą rekordów DNS TXT. Jednym z takich przykładów jest rekord SPF lub Sender Policy Framework. Jednak permisywne rekordy SPF w tysiącach domen wysyłających stanowiły lukę potrzebną atakującym do ominięcia kontroli uwierzytelniania.
Przykład błędnie skonfigurowanych rekordów SPF
Przykład niedozwolonego rekordu SPF jest następujący:
v=spf1 include:example.domain.com -all
Powyższy przykład pozwala tylko określonym serwerom na wysyłanie wiadomości e-mail w imieniu domeny. Domeny, które nie są wyraźnie autoryzowane, nie przejdą SPF.
Przykład permisywnego rekordu SPF jest następujący:
v=spf1 include:example.domain.com +all
Powyższy przykład pozwala dowolnemu serwerowi wysyłać wiadomości e-mail w imieniu domeny, umożliwiając spoofing i podszywanie się. Infloblox zidentyfikował użycie permisywnych konfiguracji SPF, takich jak te, w celu uruchomienia złośliwych kampanii.
Sprawdzanie konfiguracji SPF w celu zapobiegania exploitom
Konfiguracje SPF domeny można sprawdzić za pomocą jednej z poniższych metod:
Wyszukiwanie ręczne
Właściciele domen mogą wyszukiwać rekordy SPF za pomocą poleceń NSlookup lub Dig:
- W systemie Linux/MacOS: dig +short txt example.com | grep spf
- W systemie Windows: nslookup -type=txt example.com | Select-String -Pattern "spf"
Automatyczne wyszukiwanie
Prostszym sposobem na sprawdzenie konfiguracji SPF DNS jest użycie narzędzia PowerDMARC SPF checker tool.
- Wprowadź nazwę domeny w przyborniku (np. domena.com).
- Naciśnij przycisk "Wyszukaj"
- Sprawdź swoje wyniki
To takie proste! Jest to bezproblemowy i natychmiastowy sposób na sprawdzenie SPF bez uruchamiania skryptu lub polecenia Powershell i nie wymaga wiedzy technicznej.
Przypis końcowy: Wyciągnięte wnioski
Zdolność botnetu do wykorzystywania luk w zabezpieczeniach DNS w celu przeprowadzania wyrafinowanych ataków spoofingowych podkreśla potrzebę przestrzegania najlepszych praktyk w zakresie bezpieczeństwa poczty elektronicznej:
- Właściciele domen muszą regularnie przeprowadzać audyty rekordów DNS, aby zapewnić poprawność SPF, DKIM i DMARC konfiguracje.
- Właściciele domen muszą powstrzymać się od stosowania zbyt liberalnych polityk SPF lub DMARC przez długi czas.
- Usunięcie lub zabezpieczenie domyślnych kont administratora na urządzeniach.
- Włącz Raportowanie DMARC w celu monitorowania ruchu e-mail i wykrywania nieautoryzowanego dostępu.
- Co najważniejsze, skorzystaj z usług optymalizacji makr SPF, takich jak Hosted SPF aby naprawić błędy i słabości SPF oraz łatwo dostosować się do ograniczeń SPF DNS lookup.
Odkrycie exploitów botnetu MikroTik jest świadectwem rosnących obaw związanych z wyrafinowanymi cyberatakami. Aby zachować ochronę, firmy muszą zaktualizować swój stos zabezpieczeń, aby utorować drogę nowoczesnym technologiom cyberbezpieczeństwa opartym na sztucznej inteligencji. Pozwoli im to płynnie poruszać się po krajobrazie zagrożeń, pozostając bez szwanku.
- Yahoo Japan zaleca użytkownikom przyjęcie DMARC w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.