• Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО

Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО

Блог

Ботнет MikroTik использовал слабые конфигурации SPF, подделывая 20 000 доменов для запуска широкомасштабных кампаний по рассылке вредоносного спама.

ЮнесТарада

Время чтения: 4 мин
Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО
Оглавление-

Последние новости кибербезопасности, Infoblox Threat Intel обнаружила ботнет, скомпрометировавший 13 000 устройств MikroTik! Ботнет использовал уязвимости в конфигурации DNS-записей SPF, чтобы обойти защиту электронной почты. После эксплуатации ботнет подменил около 20 000 веб-доменов для распространения вредоносного ПО.

Ключевые выводы

  1. Ботнет, использовавший 13 000 устройств MikroTik, продемонстрировал критическое влияние неправильных конфигураций SPF в кибератаках.
  2. Разрешительные конфигурации SPF позволяли злоумышленникам обходить проверку подлинности электронной почты и распространять вредоносное ПО через поддельные домены.
  3. Для заражения ничего не подозревающих пользователей кампания использовала обманчивые электронные письма, содержащие ZIP-файлы с вредоносными полезными нагрузками.
  4. Регулярный аудит записей DNS и отказ от слишком разрешительных конфигураций SPF необходимы для повышения безопасности электронной почты.
  5. Использование автоматизированных инструментов проверки SPF может упростить процесс ведения безопасных SPF-записей для владельцев доменов.

Почему ботнеты представляют собой постоянную угрозу

Ботнеты - это сеть взломанных устройств, которыми удаленно манипулируют и управляют субъекты угроз. Ботнеты уже давно представляют собой постоянную угрозу кибербезопасности. Они имеют широко распространенный характер, что делает их удобным вектором для распространения масштабных вредоносных действий. 

В прошлом ботнеты были ответственны за следующее:

 

  • Распределенный отказ в обслуживании(DDoS-атаки)Атаки с целью перегрузить сеть объекта атаки, вывести из строя сервисы или отвлечь защитников.
  • Спам и фишинговые кампанииНаводняют почтовые ящики вредоносными письмами, чтобы украсть конфиденциальную информацию или распространить вредоносное ПО.
  • Credential Stuffing для автоматизации попыток входа в систему с украденными учетными данными.
  • Кража данных кража личных или корпоративных данных с целью получения прибыли или дальнейших атак.
  • КриптоджекингЭто захват ресурсов устройства для добычи криптовалюты.
  • Прокси-сети и мошенничество с кликамиэто действие по сокрытию местоположения злоумышленников и обману рекламодателей.

В недавней спам-кампании, обнаруженной компанией Infoblox, ботнеты использовали более 13 000 взломанных маршрутизаторов MikroTik. Это вызывает растущую обеспокоенность индустрии кибербезопасности.

Упростите безопасность с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

Анатомия вредоносной кампании

Спам в виде грузовых счетов-фактур

В конце ноября 2024 года компания "Инфоблокс" обнаружила спам-кампанию, связанную со счетами-фактурами. Рассылались спам-письма, выдававшие себя за счета-фактуры DHL, с ZIP-файлами, содержащими вредоносные JavaScript-файлы. На сайте ZIP-вложения имели последовательные соглашения об именовании, такие как:

  • Счет-фактура (2-3-значный номер).zip
  • Отслеживание (2-3-значный номер).zip

Анализ полезной нагрузки

Файлы ZIP, они же файлы JavaScript, выполняли сценарии Powershell. Они подключались к командно-контрольному (C2) серверу вредоносного ПО, который размещался на подозрительном IP-адресе. Этот IP-адрес имел историю предыдущих вредоносных действий в Интернете. Таким образом, ботнет создавал сеть, которая запускала цепочку распространения троянских вредоносных программ. 

Как были скомпрометированы маршрутизаторы MikroTik? 

Согласно результатам расследования, проведенного компанией Infoblox, ботнет захватил более 13 000 маршрутизаторов MikroTik. Эти маршрутизаторы были настроены как SOCKS-прокси. Это маскировало их происхождение, делая их неидентифицируемыми. 

Маршрутизаторы MikroTik стали легкой мишенью для ботнета из-за присущих им критических уязвимостей: 

  • Маршрутизаторы имеют дефект удаленного выполнения кода, который легко эксплуатируется при аутентифицированном доступе.
  • Развертывание прокси-серверов SOCK позволило участникам угрозы скрыть свои подлинные личности. 
  • Некоторые устройства поставлялись с учетными записями "admin" по умолчанию, содержащими пустые пароли.

Роль неправильных конфигураций SPF в организации кампании по рассылке вредоносного спама

Получающие почтовые серверы проверяют легитимность отправителей электронной почты с помощью записей DNS TXT. Одним из таких примеров является запись SPF или Sender Policy Framework. Однако разрешительные записи SPF в тысячах доменов-отправителей обеспечили злоумышленникам лазейку, необходимую для обхода проверок подлинности. 

Пример неправильно настроенных записей SPF

Пример не разрешающей записи SPF выглядит следующим образом:

v=spf1 include:example.domain.com -all

Этот пример позволяет только указанным серверам отправлять электронные письма от имени домена. Домены, не имеющие явного разрешения, не пройдут SPF. 

Пример разрешительной записи SPF выглядит следующим образом: 

v=spf1 include:example.domain.com +all

Приведенный выше пример позволяет любому серверу отправлять электронные письма от имени домена, что позволяет осуществлять подмену и выдавать себя за другого. Infloblox выявила использование подобных разрешительных конфигураций SPF для запуска вредоносных кампаний. 

Проверка конфигурации SPF для предотвращения эксплуатации

Вы можете проверить конфигурацию SPF вашего домена, используя один из следующих методов: 

Ручной поиск 

Владельцы доменов могут искать SPF-записи с помощью команд NSlookup или Dig: 

  • В Linux/MacOS: dig +short txt example.com | grep spf
  • В Windows: nslookup -type=txt example.com | Select-String -Pattern "spf"

Автоматический поиск 

Более простой способ проверить конфигурацию DNS SPF - использовать инструмент PowerDMARC инструмент проверки SPF.

  • Введите имя вашего домена в поле инструментов (например, domain.com).
  • Нажмите кнопку "Поиск". 
  • Проанализируйте свои результаты 

Это так просто! Это простой и мгновенный способ проверки SPF без запуска сценария или команды Powershell, не требующий технических знаний. 

В конце примечания: Извлеченные уроки 

Способность ботнета использовать уязвимости DNS, запуская сложные спуфинг-атаки, подчеркивает необходимость следования передовым методам обеспечения безопасности электронной почты: 

  • Владельцы доменов должны регулярно проверять записи DNS, чтобы убедиться в их правильности SPF, DKIM и DMARC конфигураций.
  • Владельцы доменов должны воздерживаться от использования слишком разрешительных политик SPF или политики DMARC в течение длительного времени.
  • Удалите или защитите учетные записи администраторов по умолчанию на устройствах.
  • Включить отчетность DMARC для мониторинга почтового трафика и обнаружения несанкционированного доступа.
  • Самое главное - использовать сервисы оптимизации SPF Macros, такие как Hosted SPF для исправления ошибок и недостатков SPF, а также для соблюдения ограничений SPF DNS lookup.

Обнаружение эксплойтов ботнета MikroTik свидетельствует о растущей опасности сложных кибератак. Чтобы оставаться защищенными, компании должны обновить свой стек безопасности, чтобы проложить путь к современным технологиям кибербезопасности, поддерживающим искусственный интеллект. Это позволит им легко ориентироваться в ландшафте угроз и оставаться невредимыми.

CTA

Последние сообщения Юнеса Тарады (см. все)
Лучшие альтернативы AutoSPF: Подробное сравнение характеристикyahoo ЯпонияYahoo Japan рекомендует пользователям принять DMARC в 2025 году