近几年，我们已经看到了很多关于家庭路由器遭受攻击的报道。攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点，其他的攻击方式还包括植入后门和DNS劫持。在这些攻击中，攻击者针对家庭网络的攻击意图和目的表现得非常明显。

　　恶意软件攻击流程

本文分析了一个名为TROJ_VICEPASS.A的恶意软件。首先，它会伪装成网站上的一个Adobe Flash更新文件，并诱导访问者下载并安装。一旦被执行，它将试图连接家庭路由器，并搜索网络中所有的联网设备。然后，它会利用预先准备的账号和密码尝试登录这些联网设备，并获取敏感数据；最后，它将偷窃的数据发送至远程服务器，然后将自己从电脑上删除。

图1是该恶意软件的感染流程图。

　　图1 恶意软件感染链

深入分析

当访问恶意网站时，如果这些网站已被植入假的Flash更新文件，那么用户将很可能遇到恶意软件TROJ_VICEPASS.A。通常情况下，网站会建议访问者下载并安装这个Flash更新文件。

　　图2 被植入假的Adobe Flash更新文件的站点

图3 假的Flash更新

一旦恶意软件被执行，它将试图使用一个预先准备的用户名和密码列表，通过管理控制台连接到路由器。如果连接成功，恶意软件会试图扫描整个网络来寻找所有已连接的设备。

图4 搜索连接的设备

恶意软件使用的用户名列表：

admin

Admin

administrator

Administrator

bbsd-client

blank

cmaker

d-link

D-Link

guest

hsa

netrangr

root

supervisor

user

webadmin

wlse

恶意软件使用的密码列表：

_Cisco

0000

000000

1000

1111

111111

1111111

11111111

111111111

112233

1212

121212

123123

123123Aa

123321

1234

12345

123456

1234567

12345678

123456789

1234567890

1234qwer

123ewq

123qwe

131313

159753

1q2w3e4r

1q2w3e4r5t

1q2w3e4r5t6y7u8i9o0p

1qaz2wsx

2000

2112

2222

222222

232323

321123

321321

3333

4444

654321

666666

6969

7777

777777

7777777

88888888

987654

987654321

999999999

abc123

abc123

abcdef

access

adm

admin

Admin

Administrator

alpine

Amd

angel

asdfgh

attack

baseball

batman

blender

career

changeme

changeme2

Cisco

cisco

cmaker

connect

default

diamond

D-Link

dragon

ewq123

ewq321

football

gfhjkm

god

hsadb

ilove

iloveyou

internet

Internet

jesus

job

killer

klaster

letmein

link

marina

master

monkey

mustang

newpass

passwd

password

password0

password1

pepper

pnadmin

private

public

qazwsx

qwaszx

qwe123

qwe321

qweasd

qweasdzxc

qweqwe

qwerty

qwerty123

qwertyuiop

ripeop

riverhead

root

secret

secur4u

sex

shadow

sky

superman

supervisor

system

target123

the

tinkle

tivonpw

user

User

wisedb

work

zaq123wsx

zaq12wsx

zaq1wsx

zxcv

zxcvb

zxcvbn

zxcvbnm

需要指出的是，恶意软件使用HTTP协议来扫描并搜寻联网设备，扫描的IP地址范围是192.168.[0-6].0—192.168.[0-6].11，这些IP地址一般都会用作路由器IP地址。搜索路由器的打印日志如下所示：

Find router IP address – start

Searching in 192.168.0.0 – 192.168.0.11

[0] connect to 192.168. 0.0

URL: ‘192.168.0.0’, METHOD: ‘1’, DEVICE: ‘Apple’

…. (skip)

Find router IP address – end

我们注意到恶意软件会检测苹果设备，例如iPhone和iPad，而它们设备并没有开放的HTTP端口。然而，需要注意的是，从这些字符串可以看出，它更加关注路由器。我们发现恶意软件使用以下名字搜索路由器等设备：

dlink

d-link

laserjet

apache

cisco

gigaset

asus

apple

iphone

ipad

logitech

samsung

xbox

　　图5 搜索苹果设备

一旦恶意软件对网络中的设备搜索结束，它会利用base64编码和一个自定义的加密算法对搜索结果加密。然后，通过HTTP协议将加密后的结果发送到一个远程C&C服务器。

　　图6 加密搜索结果

图7 发送结果到C&C服务器

恶意软件成功发送结果之后，就从受害者电脑上自我删除，并清除它的任何踪迹。攻击者使用下面的命令来实现这些操作：

exe /C ping 1.1.1.1 -n 1 -w 3000 >Nul &Del“%s”

相关文件哈希：

a375365f01fc765a6cf7f20b93f13364604f2605

猜测：可能是攻击活动的“先行军”

根据恶意软件的行为可猜测，它可能只是攻击者用来收集情报的先行部队，这些信息很可能会被用来发动一场大型恶意活动。收集来的信息可能会被存储并用作以后的跨站请求伪造(CSRF)等攻击，因为如果攻击者手中已经有了特定IP的登录凭证，那么以后的攻击将变得更加容易。当然，我们并不十分确定，但是考虑到该恶意软件的执行流程以及行为表现，这似乎是最有可能发生的场景。

安全建议

无论攻击者的最终目标是什么，这个恶意软件都向我们展示了设备安全的重要性，即使那些不太可能成为目标的设备也需要关注其安全。所以，用户应该经常修改路由器的登录凭证，最好设置成强密码。此外，用户还可以选择密码管理软件来帮助他们管理所有的密码。

除了良好的密码习惯，用户还应该永远记住其他的安全措施。例如，他们应该尽可能避免点击邮件中的不明链接。如果他们需要访问一个站点，最好直接输入网址或者使用一个书签。如果他们的软件需要升级，那么可以直接访问软件的官方网站去下载。此外，也可以选择设定软件自动安装更新。最后，用户应该采取安全措施来保护他们的设备。