Scanner open source pour détecter les routeurs piratés par Trickbot • The Register

Microsoft a publié un outil qui recherche et détecte les appareils Internet des objets alimentés par MikroTik qui ont été piratés par le gang Trickbot.

le analyseur open source vient après une enquête menée par l’équipe de recherche Defender for IoT de Redmond sur la façon dont l’équipe de logiciels malveillants infâmes prend le contrôle des routeurs MikroTik et les configure pour canaliser les communications vers et depuis les ordinateurs infectés par Trickbot sur le réseau et les serveurs principaux des criminels.

Dans un note de version Cette semaine, l’équipe de sécurité de Microsoft a expliqué comment les mécréants compromettent les appareils MikroTik pour renforcer les communications C2 de Trickbot. Le gang doit d’abord acquérir des informations d’identification pour les passerelles, et selon Microsoft, il le fait par le biais de diverses méthodes, notamment l’utilisation de mots de passe MikroTik par défaut et le lancement d’attaques par force brute.

Ou ils peuvent exploiter CVE-2018-14847 sur les appareils exécutant des versions de RouterOS antérieures à 6.42. Cela permet à un attaquant de lire des fichiers arbitraires tels que user.dat, qui contient des mots de passe, a expliqué Microsoft.

Les criminels modifient ensuite le mot de passe du routeur pour conserver l’accès, puis utilisent l’appareil compromis pour envoyer des commandes aux systèmes empoisonnés par Trickbot sur le réseau afin qu’ils exécutent des rançongiciels, extraient des pièces, volent ou suppriment des données, etc.

Microsoft a repéré le gang Trickbot envoyant des commandes RouterOS spécifiques à MikroTik aux appareils infectés pour configurer la redirection du trafic C2, puis a suivi ces commandes jusqu’à leur source. Comme l’ont expliqué les chercheurs sur les menaces : “Les appareils MikroTik ont ​​un système d’exploitation unique basé sur Linux appelé RouterOS avec un shell SSH unique accessible via le protocole SSH à l’aide d’un ensemble restreint de commandes”, avec le préfixe /.

Microsoft a noté que le trafic C2 redirigé est reçu du port 449 – un port Trickbot connu – et redirigé via le port 80.

Le scanner se connecte aux appareils MikroTik et recherche les règles de configuration de la redirection du trafic et les changements de port, entre autres indicateurs Trickbot. Si vous voulez chercher par vous-même, sans utiliser le code de Microsoft, ou si vous avez besoin de conseils sur ce qu’il faut faire si vous pensez que votre routeur a été compromis, Redmond vous propose ceci :

Et, sans surprise, le conseil numéro un pour se protéger contre les futures infestations de Trickbot : restez patché et utilisez un mot de passe fort – pas celui par défaut de MikroTik. ®

Leave a Comment