Перейти к содержимому
Local
bot

Майнинг на пользователях Mikrotik

Рекомендованные сообщения

Более 200 тыс. маршрутизаторов MikroTik заражены скриптом для майнинга криптовалюты. Изначально активность злоумышленников ограничивалась устройствами из Бразилии, однако позже они стали ориентироваться на маршрутизаторы по всему миру.

Специалисты по кибербезопасности из компании Trustwave обнаружили масштабную вредоносную кампанию, нацеленную на маршрутизаторы MikroTik. Злоумышленники изменяют конфигурацию устройств и внедряют в них копию скрипта Coinhive, позволяющего тайно майнить криптовалюту в браузере пользователя.

По словам специалистов, изначально активность злоумышленников ограничивалась устройствами из Бразилии, однако позже они стали ориентироваться на маршрутизаторы MikroTik по всему миру.

Киберпреступники проэксплуатировали обнаруженную в апреле текущего года уязвимость нулевого дня в компоненте Winbox маршрутизаторов MikroTik. Производитель выпустил исправление менее чем через день после обнаружения, однако, судя по всему, не все владельцы маршрутизаторов применили данный патч. Вскоре после раскрытия информации о проблеме, на портале GitHub появилось несколько PoC-эксплоитов.

По словам исследователей, злоумышленники использовали один из PoC-кодов для изменения трафика, проходящего через маршрутизатор MikroTik, и внедрения копии библиотеки Coinhive на всех страницах, обслуживаемых маршрутизатором. В настоящее время инфицировано уже более 200 тыс. устройств по всему миру.

«Существуют сотни тысяч этих устройств по всему миру, используемые интернет-провайдерами, различными организациями и предприятиями. При этом каждое устройство ежедневно обслуживает десятки, если не сотни пользователей», - отметили специалисты.

Источник: securitylab

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И в SSL тоже инжектят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: Juliett_Veega
      куплю - 7 шт ACSWI
    • Автор: digicom
      На постоянной основе покупаем б/у оборудование в рабочем состоянии Mikrotik SXT Lite5, Lite2. 
    • Автор: bot
      Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов.
       
      Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки: для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно 2 тысячи пакетов в секунду.
       
      Наличие проблемы подтверждено в TCP стеках Linux и FreeBSD. В ядре Linux проблема проявляется начиная с выпуска ядра 3.9. Обновления с устранением проблемы подготовлены для Debian, Fedora, SUSE/openSUSE, Ubuntu, RHEL и FreeBSD. В качестве обходного пути защиты в Linux можно снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений.
      sysctl -w net.ipv4.ipfrag_low_thresh=262144 sysctl -w net.ipv4.ipfrag_high_thresh=196608 sysctl -w net.ipv6.ip6frag_low_thresh=262144 sysctl -w net.ipv6.ip6frag_high_thresh=196608  
      Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов:
      sysctl net.inet.ip.maxfragpackets=0 sysctl net.inet6.ip6.maxfrags=0 Источник: opennet
    • Автор: valexa
      Здравствуйте, подскажите пожалуйста:
      Настроили тунель L2TP между микротиками пинги по IP есть, RDP работает. а по имени пинги не проходят. причем с клиентского микротика по имени сервер пингуется, а с компьютера за ним не может преобразовать имя в ип. По Ip пинги идут.... уже сломал голову что может быть, Firewall не настраивал еще что б затыков небыло. DNS Statik имя-ип сервера прописал на обоих устройствах. 
    • Автор: bot
      Способ работает путем извлечения IE RSN из одного фрейма EAPOL. Разработчик популярного инструмента для взлома паролей Hashcat Дженс Стьюб (Jens Steube) обнаружил новый метод, позволяющий легко получить идентификатор парного мастер ключа (PMKID) с маршрутизатора с использованием шифрования WPA/WPA2, который затем может быть использован для взлома беспроводного пароля маршрутизатора.

      В то время как предыдущие методы взлома WPA/WPA2 требовали от злоумышленника дождаться входа пользователя в беспроводную сеть и полной аутентификации, новый метод работает гораздо проще. По словам специалиста, метод будет работать практически со всеми маршрутизаторами, использующими сети 802.11i/p/q/r с включенным роумингом.

      Данный способ работает путем извлечения IE RSN (Robust Security Network Information Element, надежного защитного сетевого элемента информации) из одного фрейма EAPOL. RSN IE -необязательное поле, содержащее идентификатор основного парного ключа, генерируемый маршрутизатором, когда пользователь пытается аутентифицироваться.

      PMK является частью обычного 4-стороннего рукопожатия, которое используется для подтверждения того, что и маршрутизатор, и клиент знают ключ или пароль от беспроводной сети.

      «PMKID вычисляется с использованием HMAC-SHA1, где ключ это PMK, а часть с данными представояет собой конкатенация фиксированной строковой метки PMK Name, MAC-адрес точки доступа и MAC-адрес станции», - пояснил Стьюб.

      Предыдущие методы взлома WPA/WPA2 требовали, чтобы злоумышленники терпеливо ждали, прослушивая беспроводную сеть до тех пор, пока пользователь не выполнит вход в систему. Затем они могли перехватить четырехстороннее рукопожатие и взломать ключ.

      Данный метод не позволяет взломать пароль непосредственно для беспроводной сети, однако, с его помощью можно получить хэш и упростить данную задачу.
       
      Источник: securitylab
×