新Mirai和Gafgyt IoT/Linux殭屍網路出現

研究人員在2018年5月發現一起利用公開的Mirai和Gafgyt惡意軟體公開代碼，並融合了多個影響IoT設備的已知漏洞的3個攻擊活動，分別是Omni、Okane和Hakai。研究人員在其中一個樣本中發現了超過11個漏洞利用，而IoT Reaper中也才只有9個漏洞利用。在最新的進化中，樣本還利用D-Link DSL-2750B操作系統命令注入漏洞。研究人員還發現，該攻擊活動支持DDoS方法，這是之前的Mirai變種從未使用過的。

Omni

2018年5月，Mirai的變種Omni殭屍網路利用了2個影響Dasan GPON路由器的漏洞，分別是CVE-2018-10561（認證繞過）和CVE-2018-1562（命令注入）。這兩個命令結合之後，遠程攻擊者就可以發送命令給有漏洞的設備並執行。

Omni還加入了一些漏洞利用，如下所示：

本文分析的樣本為

3908cc1d8001f926031fbe55ce104448dbc20c9795b7c3cfbd9abe7b789f899d（SHA256）

表1

這些漏洞都已經公開，並且被不同的殭屍網路利用了，但這是Mirai殭屍網路變種首次同時使用這11個漏洞。

該攻擊活動的特徵有：

·兩種不同的加密方案：除了使用標準的XOR加密外，對特定的配置字元串還使用了第二個密鑰。

·樣本只利用漏洞進行傳播，並不暴力破解憑證。

·通過使用iptable丟掉特定埠的包來防止受感染設備被其他殭屍網路感染。

圖1: 使用iptable丟掉特定埠的包來防止再次感染

攻擊活動使用IP 213[.]183.53.120為payload服務，同時也作為C2伺服器。

以該IP為線索，研究人員發現一些Gafgyt樣本也該報告來自該IP，但是使用的是SendHTTPCloudflare方法。

攻擊活動與Omini變種在代碼上存在引用關係，如圖2所示。

圖2: 樣本代碼中的OMNI引用

研究人員發現，加密的字元串引用的gpon[.]party網站也下線了。

圖3: gpon[.]party引用

Okane

研究人員發現Okane樣本來自於IP 46[.]243.189.101，該地址有一個含有樣本的開放目錄，如圖4所示：

圖4:來自46[.]243.189.101 的payload伺服器的開放目錄

攻擊中payload的源位於hxxp://46[.]243.189.101/gang/，下載的payload是一個shell腳本，會通過下載Okane二進位文件到有漏洞的設備完成自我複製。6月13日，這些樣本的源被替換為Cloudflare DNS伺服器1[.]1.1.1。

該攻擊活動利用的一些漏洞如表1所示。圖5是本攻擊活動隨後調用的一些漏洞：

圖5: Okane 樣本中的漏洞利用

與之前的攻擊活動不同的是，這些樣本會進行暴力破解攻擊。在這些樣本的暴力破解列表中研究人員還發現一些不常用的記錄，如：

·root/t0talc0ntr0l4! –Control4設備的默認憑證

·admin/adc123 –ADC FlexWave Prism設備的默認憑證

·mg3500/merlin –Camtron IP攝像機的默認憑證

還有一些樣本在Mirai源代碼中加入了2個新的DDoS方法。

下面是從樣本中提取出的DDoS方法：

SHA256 320ed65d955bdde8fb17a35024f7bd978d26c041de1ddcf8a592974f77d82401

·attack_method_tcpxmas：包含發送含有所有標記的TCP包，也叫做Christmas tree packet。因為處理這些包時，路由器和終端需要更多的處理消耗，所以是一種更有效的DDoS攻擊方法。Gafgyt和Kaiten變種已經使用過這種方法了，發送的payload大小為768位元組。

·attack_method_std：發送含有1024位元組隨機payload的包。

通過深入分析，研究人員發現使用這些攻擊方法的樣本早在2017年8月就在Mirai代碼中使用過了。一些融入新方法的攻擊活動樣本也只在2018年7月初出現過。下面詳細介紹了一些值得注意的方法。

研究人員對下面的樣本進行了分析：

SHA256 be1d722af56ba8a660218a8311c0482c5b2d096ba91485e7d9dfc12a2b8e00b3

·attack_method_udpgame: 使用從隨機源埠到目的埠27015的SOCK_RAW UDP DDoS攻擊；

·attack_method_asyn: 使用從隨機源埠和目的埠包的TCP DDoS攻擊，其中包含有ACK和SYN標記；

·attack_method_tcpfrag: 使用從隨機源埠、目的埠、和URG, ACK, PSH, RST, SYN, FIN標記的SOCK_RAW的TCP DDoS攻擊（Don』t Fragment設為1）；

·attack_method_tcpall：除Don』t Fragment設為0外，其他與attack_method_tcpfrag相同；

·attack_method_tcpusyn: 使用從隨機源埠和目的埠包的TCP DDoS攻擊，其中包含有URG和SYN標記；

6月19日，伺服器上的樣本進行了脫殼操作，並開始使用簡單的暴力破解，隨後釋放一個shell腳本用於自傳播。

圖6:新Okane樣本用於自傳播的shell腳本

Hakai

Hakai攻擊活動的早期樣本使用了表1中所有的漏洞利用，除了UPnP SOAP TelnetD命令執行漏洞。Hakai的payload源頭位於hxxp://hakaiboatnet[.]pw/m，C2伺服器地址是178[.]128.185.250。使用的加密方法與Mirai類似；與之前的攻擊活動不同的是，Hakai是基於Gafgyt源代碼的。

研究的樣本會監聽下面的命令：

來自同一伺服器的新樣本加入了針對D-Link DSL-2750B設備的OS命令注入漏洞利用。這些樣本使用的攻擊方法、加密密鑰和C2都與上面的樣本是相同的。但payload源變成了hxxp://178[.]128.185.250/e。

圖7: 新樣本使用針對D-Link DSL-2750B設備的漏洞利用

總結

表2是對這三起攻擊活動的一個對比分析和總結。

表2: 攻擊活動對比分析和總結

Layer-7攻擊的Gafgyt

攻擊特定DDoS保護服務提供商的Layer-7 DDoS攻擊也很常見，之前在Mirai變種DvrHelper中也見到過。

但是在Gafgyt樣本中還是第一次遇到。以OMNI樣本的C2為線索，研究人員發現了Gafgyt樣本在監聽一個名為HTTPCF的命令。

在接收到HTTPCF命令後，殭屍會調用SendHTTPCloudflare函數，目標是Cloudflare保護的站點的URL路徑。使用該攻擊的樣本最早是2018年5月發現的。

圖8: HTTPCF攻擊的URL格式

樣本還使用相同IP地址用於C2通信，如213[.]183.53.120（8013埠）。樣本還會使用一些不常見的用戶代理，如圖9所示。

圖9: Gafgyt相關樣本中發現的不常見的用戶代理

結論

攻擊嵌入式系統的殭屍網路的崛起使數百萬使用默認憑證的聯網設備陷入安全威脅之中。殭屍網路的發展利用了許多的漏洞，其中大部分是已公開的漏洞。這也說明了IoT設備廠商要確保系統和設備能夠及時的獲取安全更新。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！