歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
2025 / 01 / 16
編輯部
DNS安全公司Infoblox最新發現一個由13,000台MikroTik設備組成的殭屍網路,
攻擊者透過利用域名伺服器記錄的錯誤配置,偽造約20,000個網域來繞過電子郵件防護並傳播惡意程式。
攻擊手法與技術細節
根據Infoblox的調查,這波惡意程式散布活動於2024年11月下旬活躍。攻擊者利用DNS的SPF (Sender Policy Framework)的設定錯誤進行攻擊。SPF原本的用途是列出所有獲得授權、可代表特定網域發送電子郵件的伺服器。
在觀察到的攻擊中,部分惡意郵件偽裝成DHL Express快遞公司,發送包含惡意程式的假運費發票ZIP壓縮檔。解壓後的JavaScript檔案會組裝並執行PowerShell指令碼,進而連接到與俄羅斯駭客有關的指揮控制(C2)伺服器。
SPF記錄配置問題
Infoblox指出,約20,000個域名的SPF DNS記錄被設定為過於寬鬆的「+all」選項,這允許任何伺服器代表這些域名發送電子郵件。Infoblox解釋:「這基本上打敗了設置SPF記錄的目的,因為它為偽造和未經授權的電子郵件發送開啟了大門,」。
相較之下,使用「-all」選項才是更安全的選擇,因為它限制只有域名指定的伺服器才能發送郵件。
雖然確切的入侵方式尚未明確,但Infoblox表示他們觀察到各種版本的MikroTik韌體都受到影響,包括最新版本。這些被劫持的設備被設定為SOCKS4代理,用於發動DDoS攻擊、發送釣魚郵件、竊取資料,並協助隱藏惡意流量的來源。
Infoblox警告,儘管殭屍網路只有13,000台設備,但它們被配置為SOCKS代理後,可以允許數十萬甚至更多的受感染機器通過它們進行網路存取,這放大了殭屍網路操作的潛在規模和影響。
面對這種威脅,MikroTik設備擁有者應該立即更新至最新版本韌體,同時更改預設管理員帳戶憑證,並在無必要時關閉遠端存取控制面板。
值得注意的是,MikroTik路由器因其強大的功能而聞名,包含防火牆 (Firewall),虛擬私人網絡(VPN),頻寬限制管理 (QoS, Band Management),鏡射監管流量 (Port Mirroring) 等非常實用的路由交換器功能。也因此MikroTik路由器因經常成為威脅行為者的目標。
去年夏天,雲服務供應商OVHcloud就曾遭受由MikroTik設備組成的殭屍網路攻擊,峰值達到創紀錄的每秒8.4億封包。然而,由於MikroTik更新率極低,許多路由器長期處於易受攻擊的狀態。
本文轉載自bleepingcomputer。
DDoS攻擊
SOCK4
殭屍網路
韌體安全
釣魚郵件
安全繞過
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成
竊取OTP驗證碼新手法:駭客利用真實電話號碼進行簡訊轉發攻擊
2024年活躍的勒索軟體集團超過 75 個,較2023成長7成多
資安人科技網
文章推薦
委外服務可靠嗎?企業用SOC認證把關 3招管理委外風險
網路安全日:Google 教你識詐防受騙
報告:企業組織對資安弱點評估服務依賴度上升,逾兩成每年執行超過四次