Hide N Seek殭屍網路：在更多平台和設備上不斷的添加漏洞利用

多年來，安全專家一直在警告消費者智能家居解決方案中的漏洞，而Hide"N Seek（HNS）可能是第一個主動針對這些漏洞的惡意軟體。預計到2020年，物聯網（IoT）設備的數量將增長到204億，並且這些設備中的絕大多數專為家庭和企業自動化而設計。雖然這些設備讓人們的生活更加輕鬆，但對於網路罪犯而言，這是一個好消息，因為更多連接的物聯網設備意味著更多潛在的漏洞。

HNS是一個物聯網殭屍網路，它以複雜和去中心化的方式進行通信（使用定製的點對點通信），以實現各種惡意行為。FortiGuard Labs自今年年初首次發現該殭屍網路惡意軟體以來，一直在密切關注它。雖然HNS最初針對路由器，IP攝像機和DVR，但現在它也面向跨平台資料庫解決方案和智能家居設備。

HNS是如何發展到這一點的？在很大程度上，這是由於惡意軟體開發人員使用了開源的Mirai代碼。從Mirai複製一些代碼及從中獲取靈感，HNS為自己打開了一片新天地。在本報告中，我們將闡述HNS的演變以及它如何能夠在過去幾個月中定期添加漏洞利用但並未成為頭條新聞。

配置表

在之前的HNS博客（blog）中，我們提到了配置表的解密工作以及它與Mirai的相似之處。通過使用IDA python，我們能夠輕鬆解密配置表，並更好地了解not的工作原理。我們解密了從2018年1月首次發現的HNS到最近捕獲的最新版本的配置表。

讓我們看看下面三個不同HNS樣本及其配置表條目。通過每個樣本配置表的條目數可以輕鬆的發現它們之間的差異。我們對每個版本中的漏洞利用特別感興趣。第一個變體，如下所示，具有由60個條目組成的配置表，其中包括2個漏洞利用，第二個具有81個條目和6個漏洞利用，而最新的變體現在有110個條目和9個漏洞利用。

圖01. 配置表

配置中還注意到/bin/busybox ~~~~~~~~ 也可以作為樣本簽名，因為它是HNS獨有的。這類似於Mirai，因為字元串/bin/busybox MIRAI和MIRAI：applet not found而得名，這些命令用於確定它是否成能功地暴力進入目標IoT設備。

圖02. 簽名

時間軸

下面是將漏洞利用（綠色）和功能（藍色）與用於解密配置表的Xor密鑰（橙色）添加在一起的時間軸。

圖03. HNS 時間軸

一些有趣的發現：

·第一個HNS樣本僅使用了2個漏洞利用程序

·3月至4月，觀察到HNS樣本幾乎每周都會改變Xor密鑰。不斷更改這些密鑰有助於防止其配置表的自動解密

·從4月份開始的HNS樣本已由UPX加殼

·HNS樣本添加持久性並在重新啟動後繼續存在

·從4月開始，HNS一直在逐步為其武器庫添加漏洞利用。在嵌入更多漏洞利用之前，HNS作者會小心確保發布的版本足夠穩定

·每次添加新漏洞利用時，配置表的Xor密鑰也會更改

·最新增加的漏洞利用是HomeMatic Zentrale CCU2 RCE

·在Apache CouchDB RCE和HomeMatic Zentrale CCU2 RCE漏洞PoC發布後不到一周的時間，HNS很快將它們實現到代碼中

·最新的HNS樣本使用了9個漏洞

HNS最新的漏洞利用針對的設備來自Homematic，德國製造商eQ-3的智能家居設備供應商，目標設備是HomeMatic Zentrale CCU2。這是HomeMatic系統的核心，可為所有HomeMatic設備提供廣泛的控制，監控和配置選項。這可能是惡意軟體開始入侵您家的時刻。

同樣值得注意的是，目前我們還沒有觀察到HNS中利用「智能」設備功能的任何功能。這意味著HNS在受感染的HomeMatic設備中的行為與受感染的常規路由器或IP攝像機中的行為相同，並且尚未針對其他功能。

另一個未報告並被HNS使用的漏洞利用是Belkin NetCam RCE漏洞。下表是所有使用的漏洞利用及其PoC發布日期的摘要。

表1. 漏洞利用總結

自出道以來，HNS已經有了八個更新，包括新功能和漏洞利用的集成。

總結

HNS一直在積極的添加漏洞利用並瞄準更多平台和設備以擴大其傳播範圍。將新發布的PoC漏洞利用到武器庫中，有利於它第一個感染這些存在漏洞設備。

通過對此惡意軟體最近行為的分析，我們預計下一次更改將包括更多功能以及公開可用漏洞利用。

與以往一樣，通過使用從此分析中收集的數據，FortiGuard實驗室將繼續監控此殭屍網路及其未來發展。

解決方案

IPS signatures:

TP-Link.Wireless.Router.Backdoor

Belkin.NetCam.goform.Command.Injection

NETGEAR.DGN1000.CGI.Unauthenticated.Remote.Code.Execution

Avtech.Devices.HTTP.Request.Parsing.Multiple.Vulnerabilities

Linksys.Eseries.Router.Remote.Command.Execution

JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution

OrientDB.Remote.Code.Execution

OrientDB.fetchplan.Query.Code.Execution

Apache.CouchDB.JSON.Remote.Privilege.Escalation

Apache.CouchDB.Config.Command.Execution

HomeMatic.CCU2.CGI.Remote.Code.Execution

IOCs

6058f5dacd3e9ca31ca9e684627b0cd89633ea03a9c6b1a38489a93042ddcc2a Linux/Mirai.BD!tr

a19c23e0c2b7a20d19a32f2eecd2c69839a0d64badc37ca063d91ce9e59ac183 Linux/Mirai.BD!tr

26929a76f099abde1bdda2aa193f633763c22f261588aadc63c54606e42d00af Linux/Mirai.CK!tr

87b916c2de79ffa2099707e6510f48b16bd762b8335f656e86aab2f5ebb388d2 Linux/Mirai.CK!tr

b24a197d27b03f5592d3c92b2fd412e56c71c1f3975b2b883a90ef9ff6bb876a Linux/Mirai.CK!tr

76b632fe10340c5254a01ca8caa4861c698cf9df10eefc869aaefea88649b2a5 Linux/Mirai.BD!tr

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！