TrickBot恶意软件滥用MikroTik路由器作为命令和控制代理

微软周三详细介绍了TrickBot恶意软件使用的一种之前未被发现的技术，该技术涉及使用受损的物联网（IoT）设备作为与指挥与控制（C2）服务器建立通信的中间人。

“通过使用MikroTik路由器作为其C2服务器的代理服务器，并通过非标准端口重定向流量，TrickBot增加了另一个持久层，帮助恶意IP逃避标准安全系统的检测，”微软物联网研究团队和威胁情报中心（MSTIC）的Defender for IoT说。

TrickBot于2016年以银行特洛伊木马的形式出现，如今已演变成一种复杂而持久的无线网络安全威胁，其模块化架构使其能够调整策略，以适应不同的网络、环境和设备，并为Conti勒索软件等下一阶段的有效负载提供访问即服务。

TrickBot能力的扩展正值其基础设施离线的报道之际，尽管僵尸网络一直在不断完善其功能，以使其攻击框架持久、避免逆向工程，并保持其C2服务器的稳定性。

具体而言，MSTIC确定的新方法涉及利用受到黑客攻击的物联网设备，如来自MikroTik的路由器，“在受TrickBot影响的设备和C2服务器之间建立通信线路”

这还需要通过使用默认密码、蛮力攻击或利用MikroTik RouterOS（CVE-2018-14847）中现已修补的漏洞，然后更改路由器密码以保持访问，从而侵入路由器。

在下一步中，攻击者随后发出网络地址转换（NAT）命令，该命令旨在重定向路由器中端口449和80之间的流量，为受TrickBot感染的主机建立与C2服务器通信的路径。

“随着传统计算设备的安全解决方案不断发展和改进，攻击者将探索其他方法来破坏目标网络，”研究人员说。“针对路由器和其他物联网设备的攻击尝试并不新鲜，而且由于不受管理，它们很容易成为网络中最薄弱的环节。”