发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

本文主要是介绍发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

概述

近期,我们发现了Mirai的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),该后门程序总共利用了13种不同的漏洞,几乎所有漏洞都在之前与Mirai相关的攻击中使用过。这是典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这一变种是我们首次发现在单起恶意活动中同时使用13个漏洞利用的案例。

本次攻击发生在我们上次报道Mirai活动的几周后,当时该恶意软件针对各种路由器发动攻击。该变种也使用了在先前攻击中使用过的一些漏洞利用。中国菜刀

新的Mirai变种

我们最初发现这一Mirai新变种,是来源于我们部署的一个蜜罐,该蜜罐用于发现与物联网(IoT)相关的攻击。随着我们对这一恶意软件进行详细分析,我们发现,这种恶意软件使用了不同的传播方式,并且还使用了三个XOR密钥来对数据进行加密。我们使用XOR解密恶意软件的字符串,随即发现该恶意软件的第一个相关指标是Mirai变种。解密后的字符串可以在下图中看到。

· 0x22 (标准Mirai字符串)

· 0x37 (包含“watchdog”的字符串)

· 0xea (用于暴力破解的凭证,包括“telecomadmin”和“admintelecom”等)

下图是解密后的字符串,展示了Mirai的连接:

发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

我们还发现,该变种使用了不同的URL。下面列表中的第一个URL用作命令和控制(C&C)的链接,其余用作下载和投放的链接。在下载和投放工具的链接中,值得注意的一个地方是恶意软件使用了hopTo,这是一个免费的动态DNS(域名服务器)提供商。

· hxxp://32[.]235[.]102[.]123:1337

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips

· hxxp://ililililililililil[.]hopto[.]org/love.sh

我们对新变种的代码进行分析,发现了该恶意软件如何进行传播的更多细节,特别是该恶意软件使用的13种不同的漏洞。前三个漏洞是针对Web开发框架ThinkPHP以及某些华为和Linksys路由器中存在的特定漏洞的扫描程序。我们可以在exploit_worker()中找到此攻击中使用的其余10个漏洞的扫描程序,如下图所示。

Mirai变种代码的快照,展示了13个漏洞其中3个的扫描功能:天空彩

发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

Mirai变种代码的快照,展示了剩余的10个漏洞:

发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

我们发现,除了传播这些漏洞之外,这个Mirai变种还具有以下“妥协指标”(IoC)中列出的几种常用凭据的暴力破解功能。

漏洞利用

如前文所述,该变种是第一个在恶意活动中使用了所有13个漏洞的Mirai变种。这些漏洞利用了路由器、监控产品和其他设备中的漏洞。然而,这并不是我们第一次看到有网络犯罪分子分别使用这13个漏洞。下面列出了所有这13个漏洞利用,以及曾经使用过这些漏洞利用的其他攻击。

1. Vacron NVR CVE

漏洞和受影响的设备:Vacron网络视频录像机(NVR)设备的远程代码执行(RCE)漏洞

相关攻击:Omni

2. CVE-2018-10561和CVE-2018-10562

漏洞和受影响的设备:针对Dasan千兆无线(GPON)路由器的认证绕过和命令注入漏洞

相关攻击:Omni、与Mirai类似的扫描探测

3. CVE-2015-2051

漏洞和受影响的设备:家庭网络管理协议(Home Network Administration Protocol)SOAPAction-header命令执行漏洞,该漏洞存在于某些D-Link设备之中。

相关攻击:Omni、Hakai

4. CCTV-DVR远程代码执行(RCE)漏洞

漏洞和受影响的设备:多个CCTV-DVR厂商的产品存在远程代码执行(RCE)漏洞

相关攻击:Omni、Yowai

5. CVE-2014-8361

漏洞和受影响的设备:通用即插即用(UpnP)简单对象访问协议(SOAP)命令执行漏洞,影响使用miniigd守护程序的Realtek软件开发工具包(SDK)的多种设备

相关攻击:Omni

6. UPnP SOAP TelnetD命令执行漏洞

漏洞和受影响的设备:UpnP SOAP命令执行漏洞利用,影响D-Link设备

相关攻击:Omni

7. Eir WAN端远程命令注入漏洞

漏洞和受影响的设备:Eir D1000无线路由器的广域网(WAN)端远程命令注入漏洞

相关攻击:Omni

8. Netgear Setup.cgi 远程代码执行(RCE)

漏洞和受影响的设备:Netgear DGN1000远程代码执行(RCE)漏洞

相关攻击:Omni

9. CVE-2016-6277

漏洞和受影响的设备:可能允许在Netgear R7000和R6400设备中实现任意远程命令执行的漏洞

相关攻击:Omni、VPNFilter感染

10. MVPower DVR Shell命令执行

漏洞和受影响的设备:MVPower数字视频录像机(DVR)中未经身份验证的RCE漏洞

相关攻击:Omni

11. CVE-2017-17215

漏洞和受影响的设备:华为HG532路由器中存在任意命令执行漏洞

相关攻击:Omni、Satori、Miori

12. Linksys 远程代码执行(RCE)漏洞

漏洞和受影响的设备:Linksys E系列路由器中的远程代码执行漏洞

相关攻击:TheMoon

13. ThinkPHP 5.0.23 / 5.1.31远程代码执行(RCE)漏洞

漏洞和受影响的设备:Web开发框架ThinkPHP的5.0.23和5.1.31版本中存在远程代码执行漏洞

相关攻击:Hakai、Yowai

根据Unit 42团队的一份报告,在上述漏洞之中,有11个漏洞已经在Mirai的另一个变种Omni中使用,相关攻击发生在2018年。其中仅有2个漏洞未被发现在之前的Mirai恶意活动中被使用,它们分别是Linksys和ThinkPHP远程代码执行漏洞。然而,这两个漏洞被用于最近的攻击之中,其中还包括列表中的其他四个,分别是:CVE-2018-10561、CVE-2014-8361、UpnP SOAP TelnetD命令执行漏洞以及CVE-2017-17215漏洞利用。

此外,我们还发现了Gafgyt的变种Hakai以及Mirai的变种Yowai利用CVE-2015-2051和CCTV-DVR远程代码执行漏洞的情况,并在此前的报告中详细介绍了这两个恶意软件变种如何进行ThinkPHP远程代码执行漏洞利用。二四六

总结和安全建议

这一新变种幕后的攻击者可能只是简单地从其他攻击中复制了代码,并且使用了此前恶意样本所使用的漏洞。此外,攻击者之所以选择这样的攻击方式,可能是基于许多受影响的设备都被其他攻击者广泛地进行漏洞利用的现状,并且考虑到目前许多用户尚未针对被利用的漏洞更新补丁。

然而,上述只是猜想,我们只能推测攻击者的动机。

当前,用户已经可以采取预防措施,来防止Mirai变种的传播与成功漏洞利用。具体而言,用户可以及时安装补丁或更新,以防范此类恶意软件所利用的漏洞。用户还应特别注意是否将设备连接到网络,并在选择厂商时着重注意其安全能力和发布更新的及时性。

安全解决方案

用户可以在智能家居网络中选用嵌入式网络的安全解决方案,这样可以保护连接到家庭网络的所有设备免受网络攻击。Trend Micro智能家居网络基于丰富的威胁研究经验和业界领先的深度包检测(DPI)技术,提供智能服务质量(iQoS)、家长控制、网络安全等能力。

Trend Micro智能家居网络通过以下规则保护客户免受此类攻击:

· 1057889:Web D-Link设备UPnP SOAP远程命令执行(BID-61005)

· 1058632:Linksys E系列未经身份验证的远程代码执行(EDB-31683)

· 1059669:D-Link多个型号路由器WEB存在HNAP协议安全绕过漏洞(BID-37690)

· 1133255:XML中存在WEB远程代码执行漏洞

· 1133310:Netgear R7000 WEB命令注入漏洞(CVE-2016-6277)

· 1133419:Netgear R7000 WEB存在命令注入漏洞2(CVE-2016-6277)

· 1133498:通过Shell脚本执行Web远程命令漏洞

· 1133650:CCTV-DVR多个供应商远程代码执行漏洞

· 1134286:WEB Realtek SDK Miniigd UPnP SOAP命令执行漏洞(CVE-2014-8361)

· 1134287:WEB华为家庭网关SOAP命令执行漏洞(CVE-2017-17215)

· 1134610:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1134611:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1134687:WEB Netgear DGN1000和Netgear DGN2200未经授权的命令执行漏洞

· 1134812:WEB GPON路由器命令注入漏洞(CVE-2018-10562)

· 1134891:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1134892:WEB Dasan GPON路由器命令注入漏洞(CVE-2018-10561)

· 1135215:WEB ThinkPHP远程代码执行漏洞

· 1135617:WEB VACRON NVR board.cgi cmd远程命令执行漏洞

我们的深度发现(Deep Discovery)通过专用引擎、自定义沙箱以及整个攻击生命周期内的无缝关联,使用漏洞利用和其他类似威胁针对攻击进行检测、深入分析和主动响应,即使在没有任何引擎或模式更新的情况下,也可以检测这些类型的攻击。上述解决方案由Xgen安全提供支持,该安全为数据中心、云环境、网络和终端提供了针对各种威胁的跨代威胁防御技术。XGen具有智能、可优化、可连接的特点,为安全解决方案套件提供支持,包括混合云安全、用户保护和网络防御。

Deep Discovery检查工具通过以下规则保护客户免受上述攻击:

· 2385:SOAP远程代码执行漏洞利用 – HTTP请求

· 2485:CCTV-DVR远程代码执行漏洞利用 – HTTP请求

· 2543:VACRON远程代码执行漏洞利用 – HTTP请求

· 2547:NETGEAR DGN1000/DGN2200远程代码执行漏洞利用 – HTTP请求

· 2548:LINKSYS远程代码执行 – HTTP请求

· 2575:通过UPnP SOAP接口的命令注入 – HTTP请求

· 2630:HNAP1远程代码执行漏洞利用 – HTTP请求

· 2639:CVE-2018-10562 – GPON远程代码执行 – HTTP请求

· 2786:ThinkPHP 5x远程代码执行 – HTTP请求

IoC

恶意样本的SHA-256哈希:

· c15382bc81e1bff4cf03d769275b7c4d2d586a21e81ad4138464d808e3bb464c

· (Backdoor.Linux.MIRAI.VWIPT)

相关恶意URL:

· hxxp://32[.]235[.]102[.]123:1337(C&C)

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7(下载链接和投放工具)

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips(下载链接和投放工具)

· hxxp://ililililililililil[.]hopto[.]org/love.sh(下载链接和投放工具)

用于暴力破解的凭据:

· 12345

· 666666

· 888888

· 20080826

· /ADMIN/

· 1q2w3e4r5

· 3ep5w2u

· admintelecom

· anko

· cisco

· default

· e8ehome

· e8telnet

· guest

· hi3518

· hi3518

· hunt5759

· IPCam@sw

· ipcam_rt5350

· juantech

· juantech

· jvbzd

· jvbzd

· klv123

· klv1234

· klv1234

· password

· qwerty

· QwestM0dem

· service

· service

· smcadmin

· supervisor

· support

· svgodie

· system

· telecomadmin

· ubnt

· xc3511

· xmhdipc

· xmhdpic

· zsun1188

· Zte521

这篇关于发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/779202

相关文章

vue使用docxtemplater导出word

《vue使用docxtemplater导出word》docxtemplater是一种邮件合并工具,以编程方式使用并处理条件、循环,并且可以扩展以插入任何内容,下面我们来看看如何使用docxtempl... 目录docxtemplatervue使用docxtemplater导出word安装常用语法 封装导出方

Linux换行符的使用方法详解

《Linux换行符的使用方法详解》本文介绍了Linux中常用的换行符LF及其在文件中的表示,展示了如何使用sed命令替换换行符,并列举了与换行符处理相关的Linux命令,通过代码讲解的非常详细,需要的... 目录简介检测文件中的换行符使用 cat -A 查看换行符使用 od -c 检查字符换行符格式转换将

使用Jackson进行JSON生成与解析的新手指南

《使用Jackson进行JSON生成与解析的新手指南》这篇文章主要为大家详细介绍了如何使用Jackson进行JSON生成与解析处理,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1. 核心依赖2. 基础用法2.1 对象转 jsON(序列化)2.2 JSON 转对象(反序列化)3.

使用Python实现快速搭建本地HTTP服务器

《使用Python实现快速搭建本地HTTP服务器》:本文主要介绍如何使用Python快速搭建本地HTTP服务器,轻松实现一键HTTP文件共享,同时结合二维码技术,让访问更简单,感兴趣的小伙伴可以了... 目录1. 概述2. 快速搭建 HTTP 文件共享服务2.1 核心思路2.2 代码实现2.3 代码解读3.

Elasticsearch 在 Java 中的使用教程

《Elasticsearch在Java中的使用教程》Elasticsearch是一个分布式搜索和分析引擎,基于ApacheLucene构建,能够实现实时数据的存储、搜索、和分析,它广泛应用于全文... 目录1. Elasticsearch 简介2. 环境准备2.1 安装 Elasticsearch2.2 J

使用C#代码在PDF文档中添加、删除和替换图片

《使用C#代码在PDF文档中添加、删除和替换图片》在当今数字化文档处理场景中,动态操作PDF文档中的图像已成为企业级应用开发的核心需求之一,本文将介绍如何在.NET平台使用C#代码在PDF文档中添加、... 目录引言用C#添加图片到PDF文档用C#删除PDF文档中的图片用C#替换PDF文档中的图片引言在当

Java中List的contains()方法的使用小结

《Java中List的contains()方法的使用小结》List的contains()方法用于检查列表中是否包含指定的元素,借助equals()方法进行判断,下面就来介绍Java中List的c... 目录详细展开1. 方法签名2. 工作原理3. 使用示例4. 注意事项总结结论:List 的 contain

C#使用SQLite进行大数据量高效处理的代码示例

《C#使用SQLite进行大数据量高效处理的代码示例》在软件开发中,高效处理大数据量是一个常见且具有挑战性的任务,SQLite因其零配置、嵌入式、跨平台的特性,成为许多开发者的首选数据库,本文将深入探... 目录前言准备工作数据实体核心技术批量插入:从乌龟到猎豹的蜕变分页查询:加载百万数据异步处理:拒绝界面

Android中Dialog的使用详解

《Android中Dialog的使用详解》Dialog(对话框)是Android中常用的UI组件,用于临时显示重要信息或获取用户输入,本文给大家介绍Android中Dialog的使用,感兴趣的朋友一起... 目录android中Dialog的使用详解1. 基本Dialog类型1.1 AlertDialog(

Python使用自带的base64库进行base64编码和解码

《Python使用自带的base64库进行base64编码和解码》在Python中,处理数据的编码和解码是数据传输和存储中非常普遍的需求,其中,Base64是一种常用的编码方案,本文我将详细介绍如何使... 目录引言使用python的base64库进行编码和解码编码函数解码函数Base64编码的应用场景注意