Mirai變成Miori:IoT殭屍網路通過ThinkPHP遠程代碼執行漏洞傳播
對於許多物聯網(IoT)用戶來說,智能設備中的漏洞一直是個大問題。最臭名昭著的物聯網威脅可能是不斷完善的Mirai惡意軟體,該惡意軟體已經在過去的許多攻擊行動中使用,這些攻擊行動會入侵使用默認或弱憑據的設備。自2016年源代碼泄露以來,Mirai的變種和衍生品層出不窮。
我們分析了另一個名為「Miori」的Mirai變種,它通過利用PHP框架(即ThinkPHP)中的遠程代碼執行(RCE)漏洞傳播。該漏洞相對較新,有關它的詳細信息僅在12月11日浮出水面,影響5.0.23和5.1.31之前的ThinkPHP版本。有趣的是,我們的智能保護網路最近也顯示了與ThinkPHP RCE相關的事件。我們判斷惡意行為者濫用ThinkPHP漏洞來獲取各自的收益。
除了Miori之外,還發現了幾種已知的Mirai變種,如IZ1H9和APEP,使用相同的RCE漏洞來達成其目的。上述變體都通過Telnet使用出廠默認憑證來暴力破解並傳播到其他設備。一旦這些Mirai變種中的任何一個感染Linux機器,它將成為殭屍網路的一部分,促進分散式拒絕服務(DDoS)攻擊。
探究Miori
Miori只是眾多Mirai分支中的一個。Fortinet曾描述過其與另一種稱為Shinoa的變種有著驚人的相似之處。我們自己的分析顯示,Miori背後的網路犯罪分子使用Thinkpad RCE使存在漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體:
圖1. RCE下載並執行Miori惡意軟體
執行後,Miori惡意軟體將在控制台中生成:
圖2. Miori感染設備
它將啟動Telnet暴力破解其他IP地址。它還從埠42352(TCP / UDP)偵聽來自其C&C伺服器的命令。然後發送命令「/bin/busyboxMIORI」以驗證目標系統已被感染。
圖3. Miori發送命令
我們能夠解密嵌入在其二進位文件中的Miori惡意軟體配置表,並找到以下值得注意的字元串。我們還列出了惡意軟體使用的用戶名和密碼,其中一些是默認的,還有一些很容易猜測。
·Mirai 變種: Miori
·XOR key: 0x62
表1.相關的Miori憑證和字元串
仔細觀察還發現了兩個其他Mirai變種(IZ1H9和APEP)使用的兩個URL。然後我們查看位於兩個URL中的二進位文件(x86版本)。兩個變體都使用與Mirai和Miori相同的字元串反混淆技術,我們同樣能夠解密其配置表。
·hxxp://94[.]177[.]226[.]227/bins/
·Mirai 變種: IZ1H9
·XOR key: 0xE0
表2.相關的IZ1H9憑據和字元串
·hxxp://cnc[.]arm7plz[.]xyz/bins/
·Mirai 變種: APEP
·XOR key: 0x04
表3.相關的APEP憑據,C&C伺服器和字元串
值得注意的是,除了通過Telnet進行暴力破解之外,APEP還利用CVE-2017-17215進行傳播,其中涉及另一個RCE漏洞並影響華為HG532路由器設備。據報道,該漏洞還涉及Satori和Brickerbot變種。華為此後發布了安全通知,並概述了規避可能的利用的措施。
圖4.與CVE-2017-17215相關的漏洞利用
總結
Telnet默認密碼登錄和對連接設備的暴力攻擊並不新鮮。許多用戶可能忽略或忘記更改用於訪問易受攻擊設備出廠默認密碼。此後,Mirai催生了在攻擊中使用默認憑據和漏洞的其他殭屍網路。建議用戶更改其設備的默認設置和憑據,以阻止黑客劫持它們。作為一般規則,智能設備用戶應定期將其設備更新為最新版本。這將解決作為威脅的潛在入口點的漏洞,並且還將改進設備的功能。最後,如果設備允許,請啟用自動更新功能。
用戶還可以採用旨在抵禦這些威脅的物聯網安全解決方案。趨勢科技智能家庭網路通過此入侵防禦規則保護用戶免受此威脅:
·1135215 WEB ThinkPHP Remote Code Execution
※在Microsoft Edge中實現DOM樹
※如何安全的給.net程序簽名
TAG:嘶吼RoarTalk |