惡意軟件托管域分發(fā)多種Mirai變體,影響Tenda、華為等公司
AT&T Alien Labs 觀察到名為Moobot的Mirai僵尸網(wǎng)絡(luò)變種,用于掃描 Tenda 路由器中已知但隱蔽的漏洞,引起了內(nèi)部遙測(cè)相當(dāng)大的峰值,進(jìn)一步調(diào)查發(fā)現(xiàn)了惡意軟件托管域Cyberium,并在其中發(fā)現(xiàn)了數(shù)個(gè)Mirai變種,如 Moobot 和 Satori。
分析
3 月底,AT&T Alien Labs 觀察到 Tenda 遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞 CVE-2020-10987 的利用嘗試激增。該漏洞不常被網(wǎng)絡(luò)掃描器使用,在過(guò)去六個(gè)月中幾乎沒(méi)有檢測(cè)到。這個(gè)漏洞可以通過(guò)請(qǐng)求的 URL 來(lái)識(shí)別,其中包括“setUsbUnload”和分配給易受攻擊參數(shù)“deviceName”的有效負(fù)載。此有效負(fù)載包含將執(zhí)行路徑更改為臨時(shí)位置、從惡意軟件托管頁(yè)面獲取文件、提供執(zhí)行權(quán)限并執(zhí)行它的指令。
圖 1. BinaryEdge Sensor 檢測(cè)漏洞掃描
當(dāng)時(shí)攻擊者對(duì) Tenda 路由器的漏洞掃描只持續(xù)了一天,但對(duì)其余設(shè)備的掃描活動(dòng)卻持續(xù)了數(shù)周時(shí)間,涉及到的設(shè)備漏洞如下:
- 端口 80 和 8080:Axis SSI RCE。
- 端口 34567:DVR掃描器嘗試默認(rèn)憑證的Sofia主視頻應(yīng)用程序。
- 端口 37215:華為家用路由器RCE漏洞 (CVE-2017-17215)。
- 端口 52869:Realtek SDK Miniigd UPnP SOAP命令執(zhí)行(CVE-2014-8361)。
所有惡意軟件變體都來(lái)自相同的惡意軟件托管頁(yè)面dns.cyberium[.]cc,在調(diào)查此域時(shí),發(fā)現(xiàn)了多個(gè)攻擊活動(dòng),最早的可以追溯到 2020 年 5 月。大多數(shù)攻擊持續(xù)了一周的時(shí)間,每個(gè)活動(dòng)使用Cyberium域下的不同子域頁(yè)面,攻擊終止后,相關(guān)的子域就無(wú)法解析。
圖 2. Cyberium[.]cc 的熱力圖
破壞設(shè)備后,惡意代碼會(huì)連接到Cyberium域來(lái)檢索用作下載器的bash腳本,這個(gè)腳本非常類(lèi)似于之前看到的Mirai變種的下載器,旨在下載惡意軟件的后期階段,如下圖所示,腳本下載文件名列表(與不同的 CPU 架構(gòu)相關(guān)聯(lián)),執(zhí)行每個(gè)文件名,通過(guò)crontab 實(shí)現(xiàn)持久化,最后刪除自身。
圖 3. Tenda 下載程序腳本
在該域可用期間,至少發(fā)現(xiàn)了三種不同的 Mirai變種:Moobot、Satori/Fbot 以及與這些僵尸網(wǎng)絡(luò)無(wú)關(guān)的其他樣本。該域的特點(diǎn)之一是它在 Mirai 變體之間的來(lái)回切換,即使在相同的文件名下也是如此,同一 URL 可能在托管 Satori的一周后托管 Moobot。
Moobot
Moobot僵尸網(wǎng)絡(luò)于2020年4月首次被發(fā)現(xiàn),于同年10出現(xiàn)了新變種,該變種主要追逐暴露的和易受攻擊的 Dockers API,以將它們納入DDoS 僵尸網(wǎng)絡(luò)中。
與其他Mirai變體不同的是,從Moobot獲得的樣本是加密的,試圖逃避基于字符串的檢測(cè)、對(duì)所用漏洞的靜態(tài)分析,或入侵后的活動(dòng)。Moobot中列舉了要避免的硬編碼IP地址列表,如:國(guó)防部、IANA IP、通用電氣等。
圖 4. Moobot 的 IP 掃描限制
惡意軟件編寫(xiě)者似乎非常了解他們的目標(biāo)受害者是誰(shuí),因此惡意軟件將嘗試通過(guò)使用 prctl 來(lái)隱藏其進(jìn)程名稱。隱藏進(jìn)程名稱是“/var/Sofia”,為目標(biāo)設(shè)備上的視頻應(yīng)用程序的名稱。
圖 5. Moobot 進(jìn)程隱藏處
成功感染后,payload 嘗試在端口 12028 上查詢硬編碼的 C2 以獲取 C2 列表。當(dāng)前Cyberium 域處于關(guān)閉狀態(tài),無(wú)法分析這些通信。
Satori/Fbot
Satori 僵尸網(wǎng)絡(luò),也稱為 Fbot,是另一種基于 Mirai 變種的僵尸網(wǎng)絡(luò)。Moobot 和 Satori 樣本之間的相似之處很多,因?yàn)樗鼈兌紒?lái)自相同的 Mirai 源代碼,比如下載方式、對(duì)物聯(lián)網(wǎng)設(shè)備的漏洞掃描、執(zhí)行后打印的字符串、隱藏在 (/var/Sofia) 后面的進(jìn)程名稱等。在觀察到的Satori樣本中,代碼沒(méi)有加密,無(wú)需任何額外操作就可以讀取更多字符串——不像 Moobot 樣本被編碼以減少純文本中的字符串?dāng)?shù)量。
其他樣本
這些樣本似乎是 Moobot 和 Satori 樣本之間的混合,它們的特征是隨機(jī)組合的,大多數(shù)看起來(lái)像沒(méi)有編碼的 Moobot 樣本或沒(méi)有硬編碼域的 Satori。
推薦措施
- 保持所有 IoT 設(shè)備更新,并特別關(guān)注解決提到的設(shè)備或 CVE。
- 監(jiān)控已知傳入漏洞的網(wǎng)絡(luò)流量。
- 監(jiān)控到 Cyberium 或 ripper 域的出口和入口網(wǎng)絡(luò)流量。
- 定期執(zhí)行進(jìn)程審計(jì)和記賬,尋找可能隱藏僵尸網(wǎng)絡(luò)的已知惡意進(jìn)程名稱。
本文翻譯自:https://cybersecurity.att.com/blogs/labs-research/malware-hosting-domain-cyberium-fanning-out-mirai-variants如若轉(zhuǎn)載,請(qǐng)注明原文地址。
