Mirai殭屍網絡將CVE-2020-5902武器化攻擊物聯網設備

2020-11-28 騰訊網

今年7月披露了兩個F5 BIG-IP RCE漏洞之後,我們繼續監視和分析這些漏洞及其相關攻擊活動,以進一步了解其嚴重性。根據針對CVE-2020-5902發布的補丁方法,我們找到了一個物聯網(IoT)Mirai殭屍網絡下載程序,可以將其添加到新的惡意軟體中進行掃描攻擊。

https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/securing-routers-against-mirai-home-network-attacks

我們發現的樣本還嘗試利用常用設備和軟體中最近披露的潛在未修補漏洞。

此漏洞是BIG-IP管理界面中的遠程代碼執行(RCE)漏洞,即管理用戶界面(TMUI)。在分析了已發布的信息之後,我們從Apache httpd的緩解規則中注意到,利用此漏洞的一種可能方法包括在URI中包含分號字符的HTTP GET請求。

https://github.com/f5devcentral/f5-azure-saca/commits/master/SACAv2/STIG/bigipstig.sh

在Linux命令行中,分號向解釋器發送命令行已完成的信號,這是漏洞需要觸發的一個字符。為了進一步分析,我們測試了IoT殭屍網絡作者是否可以通過以下Yara規則為現有新的惡意軟體變體添加掃描功能:

圖1.用於檢查惡意軟體的Yara規則

儘管用於測試的規則看起來很簡單,但它足以使我們可以檢查各種惡意軟體,Python或Ruby PoC。從7月1日披露之日起,我們發現了7月11日編譯為MIPS架構的ELF文件的第一個示例,該示例標識了兩個地址:hxxp [:] // 79 [。] 124 [。] 8 [。] 24 / bins /和hxxp [:] // 78 [。] 142 [。] 18 [。] 20(標識為命令和控制(C&C)伺服器)。諸如Mirai之類的IoT惡意軟體的一種常見模式是,找到一個域中託管的具有不同擴展名的不同文件,這些擴展名旨在攻擊不同的體系結構。檢查主機後,我們發現以下文件:

表1. C&C中託管的文件

進一步查看IP位址,我們了解到自6月以來,它已被用於部署IoT惡意軟體,包括其他Mirai變體。

該SORA文件名先前已經被確定為未來變體可用於暴力攻擊和其他安全漏洞的RCE攻擊和非法控制管理設備。同時,fetch.sh是具有以下內容的shell腳本:

圖2. fetch.sh shell腳本

fetch.sh連接到http [:] // 79 [。] 124 [。] 8 [。] 24 / bins / sora。,以下載並執行名為「 sysctl」的惡意二進位文件。同時,fetch.sh還創建cron作業以啟用下載二進位文件自動執行。

圖3.創建cron作業

該腳本使用iptables工具將所有數據包發送到常用的傳輸控制協議(TCP)埠,例如Telnet,Secure Shell(SSH)和設備Web面板(HTTP)的默認埠。這可能有兩個不同的含義:

·沒有其他惡意軟體可以直接訪問受感染設備中的公開服務

·設備所有者將無法訪問管理界面

這也讓人聯想到我們最近的研究論文中所引用的對當前連接的物聯網設備進行控制的含義。

https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/caught-in-the-crossfire-defending-devices-from-battling-botnets

通過分析該殭屍網絡的x86示例,我們了解到它嘗試利用存在漏洞的BIG-IP設備,因為它向受害埠443 / TCP(HTTPS)發送GET請求:

圖4. GET請求利用CVE-2020-5902

考慮到漏洞的嚴重性,如果ID路徑正確地添加到帶有受感染設備的tmshCmd.jsp中的「命令」參數,則簡單的GET請求就足以在受感染設備中遠程執行命令。

在進一步分析樣本後,我們還發現它試圖利用隨機生成的目標中最近發現的漏洞。這是此樣本使用的漏洞利用的完整列表:

表2.其他漏洞利用

F5已經發布了補丁程序,儘管默認設置不會向公眾公開管理界面,但我們的Shodan掃描顯示大約有7,000個公開的主機在線。

https://support.f5.com/csp/article/K52145254

請在此處查看IoC的完整列表:

https://documents.trendmicro.com/assets/IoCs_Appendix_Mirai-Botnet-Exploit-Weaponized-to-Attack-IoT-Devices-via-CVE-2020-5902.pdf

參考及來源:https://blog.trendmicro.com/trendlabs-security-intelligence/mirai-botnet-exploit-weaponized-to-attack-iot-devices-via-cve-2020-5902/

相關焦點

  • 隱秘的「殭屍」世界:針對中國路由器的巨型殭屍網絡只是開始
    一起跨越一年多的案件可能帶給我們新的思考——「殭屍」來了,很難擋住。2017年年末,美國司法部門宣布製造了「美國東部大斷網」的Mirai 殭屍網絡始作俑者認罪,這起在 2016 年肆虐美國東部的全球首起物聯網攻擊再次引發了人們的關注。
  • 逃離殭屍2020
    逃離殭屍2020是一款非常有趣的闖關類小遊戲,玩家在這裡通過消滅殭屍來完成任務,大量的關卡需要玩家前來挑戰,每一個關卡的難度都是不一樣的,玩家可以在這裡很好的娛樂,通過利用手中的武器將殭屍全部消滅,帶來豐富的樂趣體驗。
  • 新一代大規模殭屍網絡Reaper可以通吃一切漏洞
    該殭屍網絡正快速發展壯大,主要由無線網絡攝像頭和網絡視頻監控設備等之類的物聯網設備組成,其發展速度遠遠超過了2016年的Mirai殭屍網絡,後者曾感染了超過全球範圍內的一百多萬個物聯網設備。根據奇虎360 Netlab安全研究人員的跟蹤研究,目前已經有大約3萬個智能設備確定被感染了,另外還有大約200萬個物聯網設備處於潛在的威脅中。
  • 物聯網通信技術解決方案提供商——四信將亮相IOTE2020深圳國際物...
    IOTE2020第十四屆國際物聯網展(深圳),將於2020年7月29日-7月31日在深圳會展中心拉開帷幕,開啟一場專屬物聯網人的夏日大狂歡!屆時,廈門四信通信科技有限公司(以下簡稱「四信」)將在本次展會上精彩亮相,展位號1A156。四信,國家高新技術企業,科技小巨人領軍企業,是全球領先的物聯網通信設備及解決方案服務提供商,以技術創新為核心,圍繞無線通信技術、5G、AI等,為政府部門、企事業單位、行業用戶、系統集成商,運營商提供物聯網產品及解決方案。
  • 機智雲黃錫雄:以自有資源為切入點,推動共享聯網設備行業發展
    定位於第三方物聯網開發及雲服務平臺的機智雲,在賦能企業實現產品升級的同時,也加快了步伐,推出了場景化的商用設備租售管理平臺。  為了更好地幫助運營企業加速實現數位化轉型升級,打造便捷智慧、創意運營、互動體驗的實體運營環境,機智雲物聯網平臺進一步沉澱自身對於自助設備的開發運營經驗,賦能商用自助設備場景化模式,通過多年雲平臺積累的渠道供應鏈資源,推出了場景化商用設備租售管理平臺:智記士多(智記store),顧名思義為設備生產商、設備運營商、中小型零售企業和個人創業者提供商用自助設備一站式銷售、租賃和管理服務,目前已進駐數十種自助設備
  • 愛投斯(IOTOS):國產物聯網中臺軟體,將引領新一輪產業智慧化革命
    近年來工業網際網路、產業網際網路、產業智慧化升級成為風口,尤其是2020年提出的新基建,七個關鍵詞中有四個是跟物聯網產業緊密相關。 愛投斯(IOTOS)公司創始人兼產品技術負責人李儒強介紹,IOTOS成立於2017年底,團隊來自BAT,擁有十年資深產業經驗,項目涉及建築、工業、環保、能源等多個領域,擁有物聯網中臺核心技術。
  • 無線4G網絡路由器抓娃娃機通信聯網
    在線聯網支付識別就更需要使娃娃機聯網,並且網速要達到客戶的良好體驗要求。技術部署抓娃娃機典型的聯網通過網口將娃娃機和商業級無線路由器連接,sim物聯網流量卡直接接入網絡就可以了。上位機接受指導IP的數據包,直接解析數據,上位機也可以通過對指令打包成IP數據包,直接發送到目的機器,實現支付管理平臺到機器之間的數據透傳。
  • 宏電打造AIoT時代自主可控物聯網智能系統
    ,支持容器部署、功能插件化,腳本化。宏電設計了空間隔離技術,將出廠的固件、用戶的更改、安裝的應用在空間上完全,互補影響,使安全得到完全保證。統一網絡OSDT支持豐富的網絡功能,所有的網絡均採用UNC進行控制。支持的網絡包括向上連接的5G-LTE、千兆乙太網,向下連接的工業乙太網、WIFI、modbus。採用UNC可以對這些網絡進行創建、銷毀、配置。
  • 研華嵌入式物聯網夥伴峰會火熱開場
    攜手夥伴 開拓邊緣智能商機研華科技嵌入式物聯網平臺事業總經理張家豪表示,根據IDC報告,2025年全球聯網連接數量將增長至270億個,智能邊緣總體市場規模將達650億美元;為此,研華提出兩大發展主軸:嵌入式設計服務與邊緣智能設備管理,以及藉由邊緣AI開發部署、工業無線技術整合、工業周邊系統整合及跨雲平臺服務等四個創新技術引擎,積極打造全面搭載研華智能設備運維管理軟體WISE-DeviceOn
  • 華士精成將攜物聯網智能設備亮相IOTE 2018物聯網夏季展
    榮譽資質及發展歷程  2017獲最具投資價值物聯網企業  2016 產品獲得國家強制性認證 電信設備入網許可證 型號核准證書  2015 廣東省重合同守信用企業 獲中物聯裝備委「擔保存貨管理及質押監管企業」  2014獲「RFID行業年度最有影響力讀寫設備企業」
  • 移動物聯網行業綜合解決方案提供商,飛貓智聯將參展IOTE2020深圳...
    據IOTE主辦方消息透露,IOTE2020第十四屆國際物聯網展(深圳站)將於2020年7月29日-31日在深圳會展中心拉開帷幕。本次展會作為物聯網行業風向標,將展示完整的物聯網產業鏈,涵蓋物聯網感知層、網絡傳輸層、運算與平臺層以及應用層;展會雲集物聯網整條產業鏈的廠家、供應商、經銷商以及應用集成商,屆時將有眾多「大腕」企業到場——北京中元易尚科技有限公司(簡稱「中元易尚」),也將在本次展會1A303展位亮相。
  • 啟明星辰ADLab聯合電信雲堤揭示殭屍網絡「黑雀攻擊」
    然而,如今在利用網絡從事不法行為的黑客圈,這種「黑吃黑」的現象卻也日漸猖獗起來,尤其是在殭屍網絡黑產中。近日,國內著名網絡安全企業啟明星辰ADLab聯合電信雲堤在對殭屍網絡黑產的分析中發現:目前Linux/Unix伺服器中最為流行、感染規模最大的殭屍網絡之一的Billgates殭屍網絡中就存在大量的黑雀攻擊行為。
  • 醫療物聯網,走到哪一步了?
    怎麼才能否打破無法運營化的困境?醫療物聯網的兩種場景:第一種是居家場景,2014年騰訊內部的創新項目「糖大夫」,「糖大夫」是典型的居家物聯模式,通過一款智能醫療硬體設備來監測血糖情況,進而採用藍牙(物聯網卡)的技術將血糖數據傳輸到雲伺服器中,方便用戶隨時查看歷史數據。
  • 喜憂參半:我國蜂窩物聯網全球佔比超過75%
    標準方面,例如,由中國產業鏈主導的NB-IoT不僅成為全球蜂窩物聯網技術的重要分支,2020年7月隨著NB-IoT正式納入全球5G標準,NB-IoT技術的生命周期和應用場景也將得到極大擴展,NB-IoT將成為5G產業生態不可或缺的一個組成部分。
  • 前瞻物聯網產業全球周報第40期:「湖北造」天基物聯網啟動組網...
    高新興將投建智能網聯總部基地 打造智慧城市等應用場景化產品廣州市首批數字新基建重大項目籤約及揭牌活動舉行,高新興將投資建設「智能網聯製造與研發總部基地」。據介紹,該基地將承載智能製造+高新技術研發綜合性功能,實現全集團在大數據、AI、5G、視頻分析等核心技術上的研發資源整合,在車聯網、公共安全、智慧城市、大交通等業務領域的應用場景化產品和方案深度融合。
  • 專訪中天網景副總裁李星月:數位化雲平臺如何助力物聯網產業發展
    7月29日,以「數智新基,萬物生G」為主題的IOTE 2020第十四屆國際物聯網展在深圳隆重開幕,本次展會以雲計算、邊緣計算、雲平臺、大數據與數據安全、人工智慧等領域為主要展示內容
  • 連結物理世界可信數據 IoTeX 如何搭建物聯網版 ChainLink
    作為一個中間件,ChainLink 旨在組建一個去中心化的線上預言機網絡,做法是使用 API 橋接鏈上和鏈下兩個環境,通過獲取以太坊、比特幣和 Hyperledger 等鏈上資源,並通過 API 將其連接到鏈下資源,如市場數據、銀行帳單、零售帳單、其他區塊鏈系統和任何存在的 Web 接口等。
  • 模擬殭屍山羊
    這款遊戲可以構建世界上任何東西,只要它是遊戲中的六個武器之一。殭屍,殭屍無處不在,因為這是一個殭屍遊戲,記得嗎? 有一些東西的較大地圖。 完全成熟的生存模式,你每五分鐘必須吃東西才能生存,就像你的祖母。 把人變成殭屍,掠奪一些板條箱。就像你的祖母。 對於不喜歡每五分鐘餵山羊的人,還有一種休閒模式。
  • 殭屍啟示錄射擊
    殭屍啟示錄射擊這是一款玩法非常刺激的槍戰射擊類遊戲,遊戲的背景將會是末日世界,玩家可以選擇自己喜歡的武器進行戰鬥和冒險,超級多的殭屍,需要你不斷的收集武器,將他們消滅,保護自己的安全,不要被感染了,這款遊戲支持多名玩家聯機進行操作,趣味性十足。
  • 植物大戰殭屍2無敵版無限鑽石_植物大戰殭屍2無敵版玩法攻略
    《植物大戰殭屍2無敵版》遊戲介紹  《植物大戰殭屍2無敵版》是植物們與殭屍們史詩般的鬥爭,將在不同的時空維度中進行續寫!新的植物,新的殭屍,新的玩法,結合最先進的觸控螢幕技術,玩家可以打破傳統意義上的塔防,直接加入殭屍抵抗戰。