相信不少人的電腦都配備了防毒軟件,或多或少也會進行系統和程式的更新,但仍然發現網速因為某些原因變慢,有些網站被拒絕訪問?這可能與惡意程式有關,但不是在你的電腦,而是在路由器。
攻擊路由器的誘因
網絡犯罪份子攻擊路由器主要有兩個原因,第一是因為所有網絡流量都要經過這個裝置,第二是用戶不能定透過防毒軟件定期掃瞄路由器,所以惡意程式進駐路由器能開拓大量攻擊的機會,而且比較下更少機會被偵測或刪除,以下將會談及網絡犯罪份子感染路由器後能進做的行為。
創建殭屍網絡
其中一個最常見的個案是被感染的路由器加入成為殭屍網絡,這是透過網絡裝置向特定網站或線上服務發送無數請求的DDoS攻擊一部份,攻擊者的目的是令目標服務超載而癱瘓其運作。與此同時,接有路由器的用戶會遇上互聯網速度大跌的情況,因為路由器忙於發送惡意請求,只有偶爾空閒時才處理用戶的工作。
根據Kaspersky的數據,在2021年路由器主要由兩個惡意程式家族所攻擊:Mirai和Meris,不過前者規模大幅領前,差不多半數路由器攻擊與它有關。
Mirai
這個惡名昭彰的惡意程式家族名稱在日文的意思是「未來」,自2016年首次被發現,除了路由器,也以感染IP攝影機、智能電視和其他IoT(物聯網)裝置而聞名,當中還包括商用產品,例如無線搖控和數碼廣告板等等,開始時是向《Minecraft》伺服器發動大規模的DDoS攻擊,後來發展出其他服務,其原始碼早在網絡上流傳,因此出現了更多的變種。
Meris
Meris在接脫維亞語中意思為瘟疫,至今已感染過千台高性能裝置,大部份是MikroTik路由器,並把他們連成網絡作為DDoS攻擊之用,在2021年攻擊美國金融公司的事件中,被Meris感染的裝置網絡每秒發出1720萬次訪問,並在數個月路該殭屍網絡以破紀錄2180萬次訪問攻擊俄羅斯的金融和IT公司。
盜取資料
部份針對路由器的惡意程式能做成更嚴重的傷害,偷如盜取用戶的資料,當用戶上網收發重要資訊,例如網上商店的付費資料、社交媒體登入憑證和電郵傳送工作文件等等,這些資料以及其他網絡流量,都無可避免需要通過路由器,而惡意程式就能攔截這些數據並直接落入網絡犯罪份子手上。其中一款盜取資料的惡意程式就是VPNFilter,通過感染路由和器NAS伺服器,取得收集資料和控制或關閉路由器的能力。
詐騙網站
惡意程式進駐路由器能靜悄悄地導引用戶到有廣告或惡意的網站,取代用戶想到的網頁,用戶和瀏覽器會以為正在存取合法的網站,事實上已經被網絡騙徒玩弄於股掌之中。
惡意程式進入路由器的方法
把惡意程式植入路由器主要有兩種方法,一種是猜管理員密碼,另一種則是利用裝置上的安全漏洞。
猜密碼
所有相同型號的路由器通常都使用相同的預設管理員密碼,憑它可以進入路由器的設定畫面,然後進行一連串的設定,如果用戶一直源用出廠時的預設密碼,攻擊者就能輕鬆「猜到」。不過最近廠商對這種做法也開始認真看待,並在部份裝置上使用獨一無二的隨機密碼,令猜密碼這種方法更低效率。
利用安全漏洞
路由器的安全漏洞就像牆居上的洞一樣,讓所有威脅能直接進入你的家或公司網絡,又或者只停留在路由器之內以降低被偵測的風險。根據Kaspersky的研究,在過去兩年有超過數百個新的安全漏洞發現在路由器之上,而為了彌補弱點,廠商會放出補丁和新韌體版本,只可惜很多用戶都不察覺到原來路由器軟件也需要更新。
保護你的網絡
為了保護你的家或公司路由器安全,應該:
- 至少每月一次檢查廠商網站最新的韌體更新,盡早安裝,有些型號會自動下載補丁,但需要手動安裝。
- 為路由器建立長而強力的管理員密碼,如果怕亡記複雜的密碼組合,可以考慮使用密碼管理員。
- 如果自問有足夠的能力或依照官方說明,關閉遙距存取路由器管理的設定。
- 正確設定Wi-Fi,設定獨一無二的密碼,使用強力的無線加密標準,設定訪客網絡,以防訪客有意或無意中在網絡內散播惡意程式。
- 使用VPN來加密傳到路由器前的對外資料
資料來源:Kaspersky Blog