发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

本文主要是介绍发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

概述

近期,我们发现了Mirai的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),该后门程序总共利用了13种不同的漏洞,几乎所有漏洞都在之前与Mirai相关的攻击中使用过。这是典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这一变种是我们首次发现在单起恶意活动中同时使用13个漏洞利用的案例。

本次攻击发生在我们上次报道Mirai活动的几周后,当时该恶意软件针对各种路由器发动攻击。该变种也使用了在先前攻击中使用过的一些漏洞利用。中国菜刀

新的Mirai变种

我们最初发现这一Mirai新变种,是来源于我们部署的一个蜜罐,该蜜罐用于发现与物联网(IoT)相关的攻击。随着我们对这一恶意软件进行详细分析,我们发现,这种恶意软件使用了不同的传播方式,并且还使用了三个XOR密钥来对数据进行加密。我们使用XOR解密恶意软件的字符串,随即发现该恶意软件的第一个相关指标是Mirai变种。解密后的字符串可以在下图中看到。

· 0x22 (标准Mirai字符串)

· 0x37 (包含“watchdog”的字符串)

· 0xea (用于暴力破解的凭证,包括“telecomadmin”和“admintelecom”等)

下图是解密后的字符串,展示了Mirai的连接:

发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

我们还发现,该变种使用了不同的URL。下面列表中的第一个URL用作命令和控制(C&C)的链接,其余用作下载和投放的链接。在下载和投放工具的链接中,值得注意的一个地方是恶意软件使用了hopTo,这是一个免费的动态DNS(域名服务器)提供商。

· hxxp://32[.]235[.]102[.]123:1337

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips

· hxxp://ililililililililil[.]hopto[.]org/love.sh

我们对新变种的代码进行分析,发现了该恶意软件如何进行传播的更多细节,特别是该恶意软件使用的13种不同的漏洞。前三个漏洞是针对Web开发框架ThinkPHP以及某些华为和Linksys路由器中存在的特定漏洞的扫描程序。我们可以在exploit_worker()中找到此攻击中使用的其余10个漏洞的扫描程序,如下图所示。

Mirai变种代码的快照,展示了13个漏洞其中3个的扫描功能:天空彩

发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

Mirai变种代码的快照,展示了剩余的10个漏洞:

发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

我们发现,除了传播这些漏洞之外,这个Mirai变种还具有以下“妥协指标”(IoC)中列出的几种常用凭据的暴力破解功能。

漏洞利用

如前文所述,该变种是第一个在恶意活动中使用了所有13个漏洞的Mirai变种。这些漏洞利用了路由器、监控产品和其他设备中的漏洞。然而,这并不是我们第一次看到有网络犯罪分子分别使用这13个漏洞。下面列出了所有这13个漏洞利用,以及曾经使用过这些漏洞利用的其他攻击。

1. Vacron NVR CVE

漏洞和受影响的设备:Vacron网络视频录像机(NVR)设备的远程代码执行(RCE)漏洞

相关攻击:Omni

2. CVE-2018-10561和CVE-2018-10562

漏洞和受影响的设备:针对Dasan千兆无线(GPON)路由器的认证绕过和命令注入漏洞

相关攻击:Omni、与Mirai类似的扫描探测

3. CVE-2015-2051

漏洞和受影响的设备:家庭网络管理协议(Home Network Administration Protocol)SOAPAction-header命令执行漏洞,该漏洞存在于某些D-Link设备之中。

相关攻击:Omni、Hakai

4. CCTV-DVR远程代码执行(RCE)漏洞

漏洞和受影响的设备:多个CCTV-DVR厂商的产品存在远程代码执行(RCE)漏洞

相关攻击:Omni、Yowai

5. CVE-2014-8361

漏洞和受影响的设备:通用即插即用(UpnP)简单对象访问协议(SOAP)命令执行漏洞,影响使用miniigd守护程序的Realtek软件开发工具包(SDK)的多种设备

相关攻击:Omni

6. UPnP SOAP TelnetD命令执行漏洞

漏洞和受影响的设备:UpnP SOAP命令执行漏洞利用,影响D-Link设备

相关攻击:Omni

7. Eir WAN端远程命令注入漏洞

漏洞和受影响的设备:Eir D1000无线路由器的广域网(WAN)端远程命令注入漏洞

相关攻击:Omni

8. Netgear Setup.cgi 远程代码执行(RCE)

漏洞和受影响的设备:Netgear DGN1000远程代码执行(RCE)漏洞

相关攻击:Omni

9. CVE-2016-6277

漏洞和受影响的设备:可能允许在Netgear R7000和R6400设备中实现任意远程命令执行的漏洞

相关攻击:Omni、VPNFilter感染

10. MVPower DVR Shell命令执行

漏洞和受影响的设备:MVPower数字视频录像机(DVR)中未经身份验证的RCE漏洞

相关攻击:Omni

11. CVE-2017-17215

漏洞和受影响的设备:华为HG532路由器中存在任意命令执行漏洞

相关攻击:Omni、Satori、Miori

12. Linksys 远程代码执行(RCE)漏洞

漏洞和受影响的设备:Linksys E系列路由器中的远程代码执行漏洞

相关攻击:TheMoon

13. ThinkPHP 5.0.23 / 5.1.31远程代码执行(RCE)漏洞

漏洞和受影响的设备:Web开发框架ThinkPHP的5.0.23和5.1.31版本中存在远程代码执行漏洞

相关攻击:Hakai、Yowai

根据Unit 42团队的一份报告,在上述漏洞之中,有11个漏洞已经在Mirai的另一个变种Omni中使用,相关攻击发生在2018年。其中仅有2个漏洞未被发现在之前的Mirai恶意活动中被使用,它们分别是Linksys和ThinkPHP远程代码执行漏洞。然而,这两个漏洞被用于最近的攻击之中,其中还包括列表中的其他四个,分别是:CVE-2018-10561、CVE-2014-8361、UpnP SOAP TelnetD命令执行漏洞以及CVE-2017-17215漏洞利用。

此外,我们还发现了Gafgyt的变种Hakai以及Mirai的变种Yowai利用CVE-2015-2051和CCTV-DVR远程代码执行漏洞的情况,并在此前的报告中详细介绍了这两个恶意软件变种如何进行ThinkPHP远程代码执行漏洞利用。二四六

总结和安全建议

这一新变种幕后的攻击者可能只是简单地从其他攻击中复制了代码,并且使用了此前恶意样本所使用的漏洞。此外,攻击者之所以选择这样的攻击方式,可能是基于许多受影响的设备都被其他攻击者广泛地进行漏洞利用的现状,并且考虑到目前许多用户尚未针对被利用的漏洞更新补丁。

然而,上述只是猜想,我们只能推测攻击者的动机。

当前,用户已经可以采取预防措施,来防止Mirai变种的传播与成功漏洞利用。具体而言,用户可以及时安装补丁或更新,以防范此类恶意软件所利用的漏洞。用户还应特别注意是否将设备连接到网络,并在选择厂商时着重注意其安全能力和发布更新的及时性。

安全解决方案

用户可以在智能家居网络中选用嵌入式网络的安全解决方案,这样可以保护连接到家庭网络的所有设备免受网络攻击。Trend Micro智能家居网络基于丰富的威胁研究经验和业界领先的深度包检测(DPI)技术,提供智能服务质量(iQoS)、家长控制、网络安全等能力。

Trend Micro智能家居网络通过以下规则保护客户免受此类攻击:

· 1057889:Web D-Link设备UPnP SOAP远程命令执行(BID-61005)

· 1058632:Linksys E系列未经身份验证的远程代码执行(EDB-31683)

· 1059669:D-Link多个型号路由器WEB存在HNAP协议安全绕过漏洞(BID-37690)

· 1133255:XML中存在WEB远程代码执行漏洞

· 1133310:Netgear R7000 WEB命令注入漏洞(CVE-2016-6277)

· 1133419:Netgear R7000 WEB存在命令注入漏洞2(CVE-2016-6277)

· 1133498:通过Shell脚本执行Web远程命令漏洞

· 1133650:CCTV-DVR多个供应商远程代码执行漏洞

· 1134286:WEB Realtek SDK Miniigd UPnP SOAP命令执行漏洞(CVE-2014-8361)

· 1134287:WEB华为家庭网关SOAP命令执行漏洞(CVE-2017-17215)

· 1134610:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1134611:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1134687:WEB Netgear DGN1000和Netgear DGN2200未经授权的命令执行漏洞

· 1134812:WEB GPON路由器命令注入漏洞(CVE-2018-10562)

· 1134891:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1134892:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1135215:WEB ThinkPHP远程代码执行漏洞

· 1135617:WEB VACRON NVR board.cgi cmd远程命令执行漏洞

我们的深度发现(Deep Discovery)通过专用引擎、自定义沙箱以及整个攻击生命周期内的无缝关联,使用漏洞利用和其他类似威胁针对攻击进行检测、深入分析和主动响应,即使在没有任何引擎或模式更新的情况下,也可以检测这些类型的攻击。上述解决方案由Xgen安全提供支持,该安全为数据中心、云环境、网络和终端提供了针对各种威胁的跨代威胁防御技术。XGen具有智能、可优化、可连接的特点,为安全解决方案套件提供支持,包括混合云安全、用户保护和网络防御。

Deep Discovery检查工具通过以下规则保护客户免受上述攻击:

· 2385:SOAP远程代码执行漏洞利用 – HTTP请求

· 2485:CCTV-DVR远程代码执行漏洞利用 – HTTP请求

· 2543:VACRON远程代码执行漏洞利用 – HTTP请求

· 2547:NETGEAR DGN1000/DGN2200远程代码执行漏洞利用 – HTTP请求

· 2548:LINKSYS远程代码执行 – HTTP请求

· 2575:通过UPnP SOAP接口的命令注入 – HTTP请求

· 2630:HNAP1远程代码执行漏洞利用 – HTTP请求

· 2639:CVE-2018-10562 – GPON远程代码执行 – HTTP请求

· 2786:ThinkPHP 5x远程代码执行 – HTTP请求

IoC

恶意样本的SHA-256哈希:

· c15382bc81e1bff4cf03d769275b7c4d2d586a21e81ad4138464d808e3bb464c

· (Backdoor.Linux.MIRAI.VWIPT)

相关恶意URL:

· hxxp://32[.]235[.]102[.]123:1337(C&C)

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7(下载链接和投放工具)

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips(下载链接和投放工具)

· hxxp://ililililililililil[.]hopto[.]org/love.sh(下载链接和投放工具)

用于暴力破解的凭据:

· 12345

· 666666

· 888888

· 20080826

· /ADMIN/

· 1q2w3e4r5

· 3ep5w2u

· admintelecom

· anko

· cisco

· default

· e8ehome

· e8telnet

· guest

· hi3518

· hi3518

· hunt5759

· IPCam@sw

· ipcam_rt5350

· juantech

· juantech

· jvbzd

· jvbzd

· klv123

· klv1234

· klv1234

· password

· qwerty

· QwestM0dem

· service

· service

· smcadmin

· supervisor

· support

· svgodie

· system

· telecomadmin

· ubnt

· xc3511

· xmhdipc

· xmhdpic

· zsun1188

· Zte521

这篇关于发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/779202

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的