海康威視因自身漏洞被黑客利用而遭受攻擊
最近海康威視又一次因自身的漏洞被黑客利用而遭受攻擊。攻擊者可以利用這個漏洞在web服務(wù)器上發(fā)送一些帶有惡意命令的消息,從而發(fā)起命令注入攻擊。
9 月 18 日,研究人員就披露了海康威視的各種產(chǎn)品被有關(guān)遠(yuǎn)程代碼執(zhí)行漏洞攻擊。當(dāng)時海康威視部分產(chǎn)品中的web模塊存在一個命令注入漏洞,由于對輸入?yún)?shù)校驗不充分,攻擊者可以發(fā)送帶有惡意命令的報文到受影響設(shè)備,成功利用此漏洞可以導(dǎo)致命令執(zhí)行,該漏洞很快被命名為 CVE-2021-36260,并在研究人員披露的同一天發(fā)布了針對該漏洞的補丁。不久之后,F(xiàn)ortiGuard Labs 開發(fā)了一個 IPS 簽名來解決這個問題。
在分析過程中,我們觀察到大量有效載荷試圖利用此漏洞來探測設(shè)備狀態(tài)或從受害者那里提取敏感數(shù)據(jù)。特別是一種有效載荷引起了我們的注意。它試圖刪除一個表現(xiàn)出感染行為并執(zhí)行 Moobot 的下載程序,Moobot是一基于Mirai開發(fā)的僵尸網(wǎng)絡(luò)家族,自從其出現(xiàn)就一直很活躍,并且擁有零日漏洞利用的能力。
我們會在本文詳細(xì)介紹攻擊者如何通過該漏洞傳播此有效載荷。
漏洞的開發(fā)和傳播
CVE-2021-36260 源于輸入驗證不足,允許未經(jīng)身份驗證的用戶將惡意內(nèi)容注入。
利用 CVE-2021-36260 的流量
我們收集了許多利用此漏洞的有效載荷,并最終找到了一個下載程序。跟蹤流量捕獲后,完整的載荷如下圖所示:
來自 CVE-2021-36260 的有效載荷
首先,因為最終的 Moobot 將被保存為“macHelper”,它首先嘗試刪除任何已經(jīng)命名為“macHelper”的文件。然后它將代碼回傳給“downloader”,這是一個很小的ELF 32位LSB ARM文件。下載程序完成下載后,執(zhí)行參數(shù)為“hikivision”的Moobot。最后,它會更改常用命令,例如“重啟”,以防止管理員在受影響的設(shè)備上調(diào)用重啟。
下載程序
攻擊者利用該漏洞釋放下載程序(SHA256:1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F)。它的任務(wù)就一個——下載僵尸網(wǎng)絡(luò)。它使用“/arm5”URI 表單服務(wù)器 199.195.250[.]233:80 下載惡意軟件,如果下載過程成功,則打印“RAY”。反匯編代碼如下圖所示:
下載程序
通過 IP 地址,我們不僅可以獲取不同架構(gòu)的 moobot 變體,還可以從目錄“/h/”中獲取歷史上出現(xiàn)的惡意軟件。
來自下載程序 IP 的示例列表
Moobot被攻擊者利用
根據(jù)我們的分析,上一階段下載的惡意軟件(SHA256:38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557)是基于Mirai的Moobot。它最明顯的特點是包含數(shù)據(jù)串“w5q6he3dbrsgmclkiu4to18npavj702f”,被用于“rand_alphastr”函數(shù)。它用于創(chuàng)建具有不同目的的隨機字母數(shù)字字符串,例如用于設(shè)置進程名稱或生成用于攻擊的數(shù)據(jù)。
Moobot 的字母數(shù)字字符串函數(shù)
它還有一些來自 Satori 的元素,這是另一個 Mirai 變體僵尸網(wǎng)絡(luò)。它包含一個針對受害者物聯(lián)網(wǎng)設(shè)備的“下載程序”,并在執(zhí)行后打印“9xsspnvgc8aj5pi7m28p”字符串。該變體還使用進程名稱“/usr/sbin*”自我分散,以便在刪除原始文件“macHelper”時看起來像一個正常的進程。Satori僵尸網(wǎng)絡(luò)的創(chuàng)建者是一位名為“Nexus Zeta”的黑客,該僵尸網(wǎng)絡(luò)是2016年10月在線發(fā)布的Mirai物聯(lián)網(wǎng)惡意軟件的一個新變體。該僵尸網(wǎng)絡(luò)迅速擴張的能力絲毫不亞于Mirai僵尸網(wǎng)絡(luò),短短12個小時內(nèi)就成功激活了超過28萬個不同的IP,影響了數(shù)十萬臺路由器設(shè)備。
Moobot 的代碼片段
由于它是基于Mirai,僵尸網(wǎng)絡(luò)也包含一個數(shù)據(jù)部分來存儲其配置。明文配置可以在與 0x22 異或后解碼:
包含配置的解碼數(shù)據(jù)
從配置中獲取 C2 服務(wù)器 (life.zerobytes[.]cc) 后,它開始發(fā)送heartbeat (\x00\x00) 數(shù)據(jù)包,然后等待來自 C2 服務(wù)器的下一個控制命令。一旦受害系統(tǒng)收到命令,它就會對特定的 IP 地址和端口號發(fā)起 DDoS 攻擊。 DDoS 攻擊流量的一個示例如下所示:
Syn-Flood
Syn-Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊,也是最為經(jīng)典的拒絕服務(wù)攻擊,它利用了TCP協(xié)議實現(xiàn)上的一個缺陷,通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文,就可能造成目標(biāo)服務(wù)器中的半開連接隊列被占滿,從而阻止其他合法用戶進行訪問。
DDoS 攻擊命令為 24 字節(jié),,詳細(xì)信息如下圖所示,其中包括Flood攻擊方法和目標(biāo) IP/端口。除了SYN Flood,C2服務(wù)器還有其他攻擊命令,比如UDP Flood 0x06,ACK Flood 0x04,ACK+PUSH Flood 0x05。
命令
從嘗試感染海康威視產(chǎn)品到部署Moobot的完整攻擊場景下圖所示:
攻擊場景
我們還注意到在下圖中一個基于設(shè)備的數(shù)據(jù)包捕獲的DDoS服務(wù)提供商,經(jīng)過追蹤分析,這是一個名為“tianrian”的telegram頻道,該頻道提供 DDoS 服務(wù)。如下圖所示,他們在登錄界面中使用特定字符串“openmeokbye”。該頻道創(chuàng)建于 2021 年 6 月 11 日,并于 8 月開始提供服務(wù)。從聊天頻道我們可以看到服務(wù)還在更新中。用戶應(yīng)該始終注意DDoS攻擊,并對易受攻擊的設(shè)備應(yīng)用補丁。
從受感染設(shè)備捕獲的流量
telegram頻道
總結(jié)
海康威視是全球最大的安防產(chǎn)品及視頻處理技術(shù)和視頻分析技術(shù)供應(yīng)商之一。 CVE-2021-36260 是一個嚴(yán)重漏洞,它使海康威視產(chǎn)品成為 Moobot 的目標(biāo)。
本文翻譯自:
https://www.fortinet.com/blog/threat-research/mirai-based-botnet-moobot-targets-hikvision-vulnerability
