《IOT 》Mirai 變種利用13種漏洞攻擊路由器等裝置

這張圖片的 alt 屬性值為空,它的檔案名稱為 IoT-feature-image-200x200.jpg

趨勢科技發現了一隻使用了13種不同漏洞的新Mirai變種(偵測為Backdoor.Linux.MIRAI.VWIPT),這些漏洞幾乎都在之前的Mirai攻擊出現過。這是隻典型的Mirai變種,具有後門及分散式阻斷服務(DDoS)功能。但這是第一次使用所有13個漏洞的案例。

這起攻擊發生在我們上次報導Mirai攻擊活動後幾週,針對了各種路由器。上次報導中所提到的一些漏洞也被用於此變種。

前三個漏洞攻擊針對網頁開發框架ThinkPHP及某些華為和Linksys路由器漏洞的掃描程式

趨勢科技一開始發現此新變種是來自於我們一個收集物聯網(IoT ,Internet of Thing相關攻擊的蜜罐系統。可以看出此惡意軟體使用了各種不同的散播方式,還發現它會用三個XOR密鑰來加密資料。用XOR解密惡意軟體字串後發現了Mirai變種的指標。可以從圖1中看到解密字串。

  • 0x22(標準Mirai字串)
  • 0x37(帶有watchdog的字串)
  • 0xea(暴力破解用密碼:“telecomadmin”、“admintelecom”等)

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/figure-1-decrypted-string-showing-mirai-connection.jpg

圖1. 顯示Mirai 連線的解密字串

我們還發現了此變種所用的其他網址。下面列表內的第一個網址是命令和控制(C&C)連結,其餘是下載和植入程式連結。下載和植入程式連結值得注意的是使用了hopTo,一個免費的動態DNS(網域名稱伺服器)服務。

  • hxxp://32[.]235[.]102[.]123:1337
  • hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7
  • hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips
  • hxxp://ililililililililil[.]hopto[.]org/love.sh

檢視新變種程式碼後可以看出更多它如何散播的技術細節,特別是它所使用的13種不同漏洞。前三個漏洞攻擊(如圖2所示)是針對網頁開發框架ThinkPHP及某些華為和Linksys路由器漏洞的掃描程式。其餘10個漏洞的掃描程式可以從exploit_worker()找到(如圖3所示)。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/figure-2-snapshot-of-mirai-variant-code-showing-the-scanner-function-for-three.jpg

圖2. 顯示其中3 個漏洞掃描程式的Mirai 變種程式碼

Figure 3. Snapshot of the Mirai variant code showing the remaining 10 exploits

圖3. 顯示剩餘10 個漏洞的Mirai 變種程式碼

我們發現除了透過這些漏洞散播外,這隻Mirai變種還具備了暴力破解功能,底下的入侵指標(IoC)內包含了所使用的常見密碼。

13個漏洞攻擊及其他使用這些漏洞的攻擊

如前所述,此變種是第一隻在單一攻擊裡使用13個漏洞的Mirai變種。這些漏洞攻擊了路由器、監控裝置及其他裝置。但這並非我們第一次看到網路犯罪分子使用這13個漏洞。表1列出所有13個漏洞攻擊及其他使用這些漏洞的攻擊。

漏洞攻擊 | 漏洞和受影響裝置 | 相關攻擊
---|---|---
1 | Vacron NVR CVE | Vacron網路錄影機(NVR)設備的遠端程式碼執行(RCE)漏洞 | Omni
2 | CVE-2018-10561, CVE-2018-10562 | 針對Dasan被動式光纖網路(GPON)路由器的認證繞過和命令注入漏洞 | Omni
Mirai式掃描
3 | CVE-2015-2051 | 特定D-Link裝置的家庭網路管理協定(HNAP)SOAPAction-header命令執行漏洞 | Omni
Hakai
4 | CCTV-DVR RCE | 多家CCTV-DVR廠商的RCE漏洞 | Omni
Yowai
5 | CVE-2014-8361 | 影響數款使用Realtek SDK及miniigd裝置的通用隨插即用(UPnP)SOAP命令執行漏洞 | Omni
6 | UPnP SOAP TelnetD command execution | D-Link裝置的UPnP SOAP命令執行漏洞 | Omni
7 | Eir WAN side remote command injection | Eir D1000無線路由器的WAN端遠端命令注入 | Omni
8 | Netgear Setup.cgi RCE | 針對Netgear DGN1000的RCE漏洞 | Omni
9 | CVE-2016-6277 | Netgear R7000和R6400的遠端執行任意命令漏洞 | Omni
VPNFilter感染
10 | MVPower DVR shell command execution | MVPower數位錄影機(DVR)的無認證RCE漏洞 | Omni
11 | CVE-2017-17215 | 華為HG532路由器的任意命令執行漏洞 | Omni
Satori
Miori
12 | Linksys RCE | Linksys E系列路由器的RCE漏洞 | TheMoon
13 | ThinkPHP 5.0.23/5.1.31 RCE | 開放原始碼網頁開發框架ThinkPHP 5.0.23/5.1.31的RCE漏洞 | Hakai
Yowai

表1. 所使用漏洞及其他相關攻擊

根據Unit 42的一份報告,2018年的Mirai變種Omni曾經使用了其中11個漏洞。剩下兩個不屬於之前Mirai活動的漏洞攻擊了Linksys和ThinkPHP RCE。但這兩個漏洞也出現在最近的攻擊中,前述攻擊還使用了另外四個列表上的漏洞:CVE-2018-10561、CVE-2014-8361、UPnP SOAP TelnetD命令執行和CVE-2017-17215漏洞攻擊。

我們也報告過Gafgyt變種Hakai和Mirai變種Yowai利用了CVE-2015-2051和CCTV-DVR RCE漏洞,並詳細介紹了這兩隻惡意軟體變種如何利用ThinkPHP RCE漏洞攻擊。

結論和安全建議

這隻新變種的幕後攻擊者可能只是從其他攻擊複製了之前案例所用漏洞攻擊的程式碼。而攻擊者選擇這些漏洞攻擊可能是因為許多受影響裝置都有廣泛的使用量,且許多使用者尚未更新修補程式來封堵被利用的漏洞。我們在此只能推測攻擊背後的動機。

但使用者已經有預防措施可以防止Mirai變種擴散及攻擊成功。包括更新正確的修補程式及更新來抵禦此類惡意軟體所用的漏洞攻擊。使用者還應該要特別注意選擇連接網路的產品,將製造廠商對資安的態度及會否儘速發布修補更新等考慮在內。

趨勢科技解決方案

趨勢科技Smart Home Network提供嵌入家庭網路的安全解決方案,保護連接家庭網路的所有設備抵禦網路攻擊。趨勢科技Smart Home Network基於趨勢科技豐富的威脅研究經驗以及業界領先的深度封包檢測(DPI)技術,能夠提供iQoS、家長控制及網路安全防護等功能。

趨勢科技Smart Home Network透過下列規則來保護客戶抵禦此攻擊:

  • 1057889: WEB D-Link Devices UPnP SOAP Command Execution (BID-61005)
  • 1058632: EXPLOIT Linksys E-series Unauthenticated Remote Code Execution Exploit (EDB-31683)
  • 1059669: WEB D-Link Multiple Routers HNAP Protocol Security Bypass Vulnerability (BID-37690)
  • 1133255: WEB Remote Command Execution in XML -1
  • 1133310: WEB Netgear R7000 Command Injection -1.1 (CVE-2016-6277)
  • 1133419: WEB Netgear R7000 Command Injection -1.2 (CVE-2016-6277)”
  • 1133498: WEB Remote Command Execution via Shell Script -1.u
  • 1133650: WEB Multiple CCTV-DVR Vendors Remote Code Execution
  • 1134286: WEB Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361)
  • 1134287: WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
  • 1134610: WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561)
  • 1134611: WEB Dasan GPON Routers Command Injection -1.2 (CVE-2018-10561)
  • 1134687: WEB Netgear DGN1000 And Netgear DGN2200 Unauthenticated Command Execution
  • 1134812: WEB GPON Routers Command Injection (CVE-2018-10562)
  • 1134891: WEB Dasan GPON Routers Command Injection -1.3 (CVE-2018-10561)
  • 1134892: WEB Dasan GPON Routers Command Injection -1.4 (CVE-2018-10561)
  • 1135215: WEB ThinkPHP Remote Code Execution
  • 1135617: WEB VACRON NVR board.cgi cmd Remote Command Execution

趨勢科技HYPERLINK “http://t.rend.tw/?i=NDIwMw”Deep DiscoveryHYPERLINK “http://t.rend.tw/?i=NDIwMw==”進階網路安全防護 透過特製引擎、客製化沙箱和跨越整個攻擊生命週期的無縫關聯技術來對漏洞攻擊及其他類似威脅進行偵測、深入分析和主動回應,從而可以無需更新引擎和特徵碼就能夠偵測這些類型的攻擊。這些解決方案由趨勢科技的XGen安全防護技術所驅動,它提供跨世代的混合威脅防禦技術,可以抵禦
資料中心雲端環境網路端點所面臨的各種威脅。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技的防護解決方案:Hybrid Cloud Security(混合式雲端防護),User Protection(使用者防護)和Network Defense(內網防護)。 

趨勢科技Deep Discovery Inspector透過以下規則保護客戶抵禦上述攻擊:

  • 2385: SOAP RCE EXPLOIT – HTTP (Request)
  • 2485: CCTV-DVR Remote Code Execution – HTTP (Request)
  • 2543: VACRON Remote Code Execution Exploit – HTTP (Request)
  • 2547: NETGEAR DGN1000/DGN2200 Remote Code Execution – HTTP (Request)
  • 2548: LINKSYS Remote Code Execution – HTTP (Request)
  • 2575: Command Injection via UPnP SOAP Interface – HTTP (Request)
  • 2630: HNAP1 Remote Code Execution Exploit – HTTP (Request)
  • 2639: CVE-2018-10562 – GPON Remote Code Execution – HTTP (Request)
  • 2786: ThinkPHP 5x Remote Code Execution – HTTP (Request)

入侵指標(IoC

Backdoor.Linux.MIRAI.VWIPT的相關SHA-256雜湊值:

  • c15382bc81e1bff4cf03d769275b7c4d2d586a21e81ad4138464d808e3bb464c

相關惡意網址:

網址 | 敘述
---|---
hxxp://32[.]235[.]102[.]123:1337 | C &C
hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7 | 下載連結及植入程式
hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips
hxxp://ililililililililil[.]hopto[.]org/love.sh

使用的密碼

  • 2345
  • 666666
  • 888888
  • 20080826
  • /ADMIN/
  • 1q2w3e4r5
  • 3ep5w2u
  • admintelecom
  • anko
  • cisco
  • default
  • e8ehome
  • e8telnet
  • guest
  • hi3518
  • hi3518
  • hunt5759
  • IPCam@sw
  • ipcam_rt5350
  • juantech
  • juantech
  • jvbzd
  • jvbzd
  • klv123
  • klv1234
  • klv1234
  • password
  • qwerty
  • QwestM0dem
  • service
  • service
  • smcadmin
  • supervisor
  • support
  • svgodie
  • system
  • telecomadmin
  • ubnt
  • xc3511
  • xmhdipc
  • xmhdpic
  • zsun1188
  • Zte521

@原文出處:New Mirai Variant Uses Multiple Exploits to Target Routers and Other Devices
作者:Augusto Remillano II和Jakub Urbanec