MikroTik 僵尸网络利用 SPF 配置错误传播恶意软件
作者:

一个 MikroTik 僵尸网络利用薄弱的 SPF 配置,欺骗了 20,000 个域名,发起了大范围的恶意垃圾邮件活动。
最近的网络安全新闻 Infoblox Threat Intel发现了一个僵尸网络,入侵了 13,000 台 MikroTik 设备!该僵尸网络利用 SPF DNS 记录配置中的漏洞绕过电子邮件防御系统。利用漏洞后,僵尸网络欺骗了约 20,000 个网站域名来传播恶意软件。
主要收获
僵尸网络是由受到威胁的设备组成的网络,由威胁行为者远程操纵和控制。僵尸网络一直是网络安全的持久威胁。它们具有广泛分布的特性,因此很容易成为传播大规模恶意活动的媒介。
僵尸网络过去曾造成过以下事件:
在 Infoblox 最近发现的恶意软件垃圾邮件活动中,僵尸网络利用了 13,000 多台被入侵的 MikroTik 路由器。这是网络安全行业日益关注的问题。
2024 年 11 月下旬,Infoblox 发现了一个发票垃圾邮件活动。发送的垃圾邮件冒充 DHL 货运发票,其中的 ZIP 文件包含恶意 JavaScript 有效载荷。这些 ZIP 附件具有一致的命名约定,如
ZIP 文件又称 JavaScript 文件,可执行 Powershell 脚本。这些脚本连接到恶意软件命令与控制 (C2) 服务器,该服务器托管在一个可疑的 IP 地址上。该 IP 地址曾在网络上进行过恶意活动。僵尸网络由此创建了一个网络,启动了木马恶意软件传播链。
根据 Infoblox 的调查,超过 13,000 台 MikroTik 路由器被僵尸网络劫持。这些路由器被配置为 SOCKS 代理。这掩盖了它们的来源,使它们无法识别。
MikroTik 路由器因其固有的关键漏洞,很容易成为僵尸网络的攻击目标:
接收邮件服务器通过 DNS TXT 记录来验证电子邮件发件人的合法性。SPF 或发件人策略框架记录就是这样一个例子。然而,数千个发送域中的许可 SPF 记录为攻击者提供了绕过验证检查所需的漏洞。
非许可 SPF 记录的示例如下:
v=spf1 include:example.domain.com -all
上述示例只允许指定的服务器代表域发送电子邮件。未明确授权的域将无法通过 SPF。
许可 SPF 记录的示例如下:
v=spf1 include:example.domain.com +all
上述示例允许任何服务器以域的名义发送电子邮件,从而实现欺骗和冒充。Infloblox 发现使用类似这样的许可 SPF 配置来发起恶意活动。
您可以使用以下任一方法检查域的 SPF 配置:
域名所有者可以使用 NSlookup 或 Dig 命令查询 SPF 记录:
检查 SPF DNS 配置的更简单方法是使用 PowerDMARC 的 SPF 检查工具.
就是这么简单!无需运行 Powershell 脚本或命令,也无需任何技术知识,就能轻松即时地检查 SPF。
僵尸网络能够利用DNS 漏洞发动复杂的欺骗攻击,这凸显了遵循电子邮件安全最佳实践的必要性:
MikroTik 僵尸网络漏洞的发现证明,复杂的网络攻击日益令人担忧。为了保持安全,企业必须更新其安全堆栈,为人工智能支持的现代网络安全技术铺平道路。这将使他们能够无缝地驾驭威胁环境,同时不受伤害。