0x01 取證背景

近日，實驗室部署的天穹威脅監測系統監測到IoT蜜罐系統中的某視攝像頭遭受了外部的一次成功攻擊。實驗室相關人員對該次成功攻擊事件展開了取證實踐，順利獲取到攻擊樣本，并以此展開深入取證分析。

0x02取證過程

1. 取證環境完善

為了進一步獲取到有效的線索，我方研究人員通過公司自研的物聯網取證系統獲取到了該攝像頭的Linux Root Shell。由于該設備自帶的Busybox已經過廠商裁剪，部分取證所需命令缺失，于是上傳相應架構的完整Busybox用于后續取證。

2. 系統環境檢查

首先，針對設備文件系統進行了檢查，特別是/tmp目錄，均未發現可疑的新增文件。因為物聯網設備常用的文件系統如squashfs等屬于只讀文件系統，攻擊者無法將惡意程序上傳到此文件系統內，而/tmp目錄對應的則是一種臨時文件系統tmpfs，該文件系統是一種基于內存的文件系統，可允許寫入操作，所以一般攻擊者常見的操作是會將惡意程序放置在此目錄然后運行。

于是，想到另一種可能即程序在運行起來后會被刪除，查看進程信息，找到了如下圖所示的可疑進程，查看/proc目錄下該進程的exe文件，發現該程序是從/tmp目錄啟動的，具有非常大的可疑性。

至此，我方研究人員在設備中發現了一個原始二進制程序被刪除且從/tmp目錄啟動的程序，該程序具有極大的可疑性，于是立即對此證據進行固定，以便后續展開詳細的分析。

3. 可疑證據固定

由于設備存在重啟導致進程結束的可能性，也為了進一步對線索展開更深入的分析，需將可疑程序外傳至可控環境中。

我們使用工具nc來實現將證據外傳至服務器，首先在設備端通過nc監聽某一端口并將樣本程序重定向至該通道，接著在可控服務器端通過nc連接該設備監聽的端口并將結果重定向至新文件，最終完成從設備上將可疑證據外傳至我方服務器上，為后續證據有效性分析提供環境。

4. 證據有效性確認

雖然通過查看系統進程信息發現一個從可寫目錄/tmp啟動的進程，并且原始二進制程序在啟動后被刪除，具有較大的可疑性，但還需對該程序做更深入的分析來判斷其是否真正具有惡意行為，以及程序的具體行為來協助我們后期對該事件進行溯源。

程序信息

通過file?命令查看程序基本信息，發現該程序未被stripped。

靜態分析

• 構造回連C&C的HTTP請求

a.根據程序啟動時外部參數個數不同，構造不同的uri

b. 通過ioctl函數獲取設備網卡mac地址，并拼接到uri尾部

c.獲取當前程序運行路徑拼接到uri尾部

1. 向C&C發送請求獲取響應

a. 構造發送到C&C的HTTP請求

b. 發送請求并接收響應

• 解析響應數據獲取下發的命令，該C&C響應內容有3個字段，通過A、B、C三個字段進行區分，其中A字段為循環請求C&C的睡眠時間；B字段為攻擊者指定的反彈shell的地址；C字段為攻擊者下發的命令

a. 提取字段A的內容

b. 提取字段B的內容，根據后續分析，字段B表示的是反彈目標的IP和端口

c. 提取字段C的內容，根據后續分析，字段C是攻擊者下發的命令

• 執行攻擊者下發的命令

反彈shell到目標地址，shell_func函數的參數v12根據其在棧中的位置推算，與data_paste函數第一個參數v11相差8個字節，而v11+8是在data_paste函數中存儲了B字段中的IP內容，v12[10]即v11+8+2x10則是在data_paste函數中存儲了B字段中的port內容。

• 等待攻擊者指定的時間后再繼續請求任務

動態分析

模擬C&C任務下發服務以及反彈shell監聽，實際運行效果與我們靜態分析一致。

分析總結

該樣本功能較為簡單，但基本滿足攻擊者對受控設備的持久化控制需求，首先通過向C&C服務器獲取任務信息，任務分為3塊內容，第一為程序該次請求到下次請求的等待時間；第二是攻擊者下發的命令；第三則是指定受控設備反彈shell的目標地址。接著會通過sh -c執行攻擊者下發的命令，再反彈shell到指定的地址，最后sleep指定的時間，此后繼續循環。

0x03 取證總結

此次取證實踐起因是天穹威脅監測系統檢測到蜜罐系統中某攝像頭遭受到一次成功攻擊，我方研究人員利用設備漏洞獲取到系統權限，之后檢查了系統多種運行環境，發現了一可疑進程，固定了可疑進程的二進制程序進行了深入分析，最終摸清了攻擊者所植入的木馬的具體行為。

銀彈實驗室研究團隊專注于物聯網+關鍵信息基礎設施的硬件、固件、無線電、云平臺、App等方面的安全漏洞研究與解決方案制定。團隊持續完善自身的安全能力矩陣以應對層出不窮的安全挑戰，現已具備成熟的二進制逆向分析、漏洞挖掘、攻擊誘捕、 安全評估、藍軍演練、溯源取證、應急處理等安全能力。

目前，上述安全能力已成功應用于物聯網固件安全檢測、物聯網攻擊事件監測、大規模IoT僵尸網絡監測、APT檢測與監測、物聯網攻擊溯源與取證、物聯網安全測評、物聯網安全培訓等產品或服務，并與多家政府和企事業單位在物聯網與關基安全領域展開長期合作，獲得了合作伙伴和客戶的高度認可。