新一代大規模殭屍網絡Reaper可以通吃一切漏洞

　　Reaper的出現

　　2017年10月，一個全新的、大規模的物聯網(IoT)殭屍網絡正快速發展並可能搞垮網際網路，其代號為「Reaper」。該殭屍網絡正快速發展壯大，主要由無線網絡攝像頭和網絡視頻監控設備等之類的物聯網設備組成，其發展速度遠遠超過了2016年的Mirai殭屍網絡，後者曾感染了超過全球範圍內的一百多萬個物聯網設備。根據奇虎360 Netlab安全研究人員的跟蹤研究，目前已經有大約3萬個智能設備確定被感染了，另外還有大約200萬個物聯網設備處於潛在的威脅中。

　　Reaper之所以傳播如此迅速是有其獨特手段的，Mirai只是利用了弱密碼和默認密碼，而Reaper則不同，該殭屍網絡則同時利用了不同的物聯網設備的數十個oday和1day漏洞，這些設備包括D-Link，Wi-Fi CAM，JAWS，Netgear，Linksys，AVTECH等。

　　各種各樣的0Day和1day漏洞

　　目前在漏洞市場裡交易的，都是已經通過各種途徑被曝光的漏洞，業內稱為1Day漏洞。市場所做的就是保證漏洞的規範性和正確性，讓購買者可以直接使用。而具有巨大威力的0Day漏洞（未被公開曝光的漏洞），目前還不可以在市場內交易。

　　不過，千萬不要小看1Day漏洞，很多漏洞雖然已經曝光了數年，都稱得上是「N」Day漏洞，但是由於用戶缺乏安全意識，沒有更換設備或者安裝官方的更新，黑產從業者仍然可以輕鬆地利用這樣的漏洞賺錢。

　　黑色產業玩的是概率，一個漏洞，只要有相當一部分比例的用戶沒有修復，對他們來講就是能賺錢的。與其期望發現一個0Day漏洞，黑產從業者會現實地選擇研究怎樣提高一個1Day漏洞的命中率。

　　形象地來講，1Day漏洞就像子彈，而0Day漏洞就像原子彈。雖然原子彈的威力巨大，但是一般人無法獲得，更多的犯罪是通過子彈來實現的。雖然物聯網開發者可以輕鬆快速地修復漏洞並更新其設備，但即使開發者發布了指定的補丁，這都沒有用。

　　安全專家曾多次發出警告，一些與網際網路連接的冰箱、電水壺、電燈泡，隨著路由器和攝像機的日益脆弱，都將被掃描並收編形成新的殭屍網絡。如果這件事發生的話，這應該是毀滅性的，這並不令人驚訝，因為許多物聯網設備製造商在出售他們閃亮的新產品之前很少關心安全問題。

　　Reaper可以利用各種各樣的漏洞，其中有些是在2013年就向公眾披露了：

　　1.Linksys E1500/E2500中的漏洞

　　2.D-Link DIR-600和DIR-300中的漏洞（rev B)

檢查D-link路由器型號的代碼片段（95b448bdf6b6c97a33e1d1dbe41678eb）

　　雖然它們中的大多數已經被開發者關閉了，儘管如此，許多設備的固件還沒有被更新，仍然有可能被利用。最近，研究人員還發現Reaper也可以利用2017年3月發現的無線網絡攝像機（P2P）WIFICAM的漏洞。

　　安全公司Embedi發現，Reaper所能利用的安全漏洞此前都已經分配了CWE編號。下圖顯示的是這些CWE漏洞以及存在相同類型漏洞設備之間的相關性：

　　根據圖表上的漏洞類型，很明顯它們都屬於應用安全。換句話說，所使用的安全開發生命周期的措施要麼不充分，要麼根本就沒有實施，導致殭屍網絡大量湧現。即使開發人員在開發可靠的代碼並進行多重加密機制的情況下，也不能應付應用程式安全性的問題。

　　不過桌面軟體的漏洞利用就很少了，由於各種作業系統的安全機制，這些漏洞很少發生，並且不易被利用。原因很清楚，那就是物聯網設備的開發人員並不會過多地去參考同行現有的經驗和資源，但對於惡意軟體的開發者來說，情況就恰恰相反了。比如說，Reaper殭屍網絡就配備了Lua解釋器，這樣就可以迅速擴展Reaper惡意軟體的功能了。

Reaper樣本中的SMPT的Lua腳本片段（ca92a3b74a65ce06035fcc280740daf6）

　　另一個樣本是Satori ， Satori是一個基於Mirai原始碼的殭屍網絡。這兩個殭屍網絡之間的主要區別在於，Satori使用了一種改進版的傳播方法，並且還增加了針對華為HG532型號路由器的0 day漏洞利用代碼。根據The Hacker News的報導，目前大約有二十多萬臺設備已經被成功感染了，除此之外，漏洞利用代碼以及Mirai殭屍網絡的原始碼都是可以直接從網絡上公開獲取的。

　　顯而易見，要創建這樣的殭屍網絡，需要在廣泛傳播的設備中找到0Day或1Day漏洞。由於大多數設備的應用程式安全性非常差，攻擊者可以很容易找到新的0Day，並將其添加到已經存在的殭屍網絡中。如果一個開發者沒有提高應用程式的安全性，數十萬個設備可以瞬間被感染。

　　這意味著，未來針對物聯網設備的殭屍網絡攻擊環境可能就會是如下這樣的了。

　　不過要注意的是，最初Mirai的出現，最初只是為了對商業競爭對手的伺服器進行DDoS攻擊，而Reaper幕後的開發團隊顯然更有經驗且技高一籌。

　　專家表示：

　　「為了阻止這個殭屍網絡的傳播，所有公司和消費者都應該確保他們的設備運行最新的固件版本，及時更新安全補丁。與此同時，每個人都需要為此做最壞的打算，因為目前還不清楚犯罪者的動機是否什麼?針對經濟犯罪還是針對特定的國家或品牌企業?」

　　Reaper可以利用的漏洞

　　D-Link 850L漏洞：

　　1.通過WAN和LAN遠程執行代碼（CWE-284）；

　　2.通過WAN和LAN在未經身份驗證的情況下遠程獲取信息（CWE-200）；

　　3.通過LAN以管理員權限在未經授權的情況下遠程運行任意軟體（CWE-284）。

　　無線網絡攝像機（P2P）WIFICAM漏洞：

　　1.通過Telnet訪問管理員帳號 （CWE-798）；

　　2.獲取存儲在固件中的RSA證書以及私鑰（CWE-321）；

　　3.使用管理員權限實現遠程代碼執行（CWE-78）；

　　4.HTTP伺服器的漏洞使得攻擊者可以通過發送一個空的登錄參數到系統來避開驗證，並將空的loginpas參數傳遞給URL（CWE-693）；

　　5.將HTTP伺服器漏洞與遠程代碼執行結合在一起，這樣攻擊者在管理員帳戶未通過本地網絡或網絡 (CWE-284, CWE-78)進行身份驗證之前實施遠程代碼執行。

　　6.在未經RTSP伺服器驗證的情況下對數據流進行監控（CWE-287）；

　　7.在tcpdump工具的幫助下對流量數據繼續監控（CWE-200）。

　　DVR漏洞：

　　1.默認用戶名和密碼均為空 （CWE-521）；

　　2.未對cookie內容進行驗證，將允許攻擊者繞過Web認證（CWE-565）；

　　3.攻擊者可以打開uboot控制臺，並將設備切換到單用戶模式，並在未經認證的情況下執行任意命令（CWE-284）；

　　4.通過使用內置的Shell，未經認證的攻擊者可以使用Telnet （CWE-553）；

　　Netgear路由器漏洞：遠程代碼執行可以在無需用戶身份驗證的情況下，藉助命令提示符（CWE-78）。

　　Vacron監控攝像機漏洞：board.cgi中沒有對輸入命令的過濾，可以運行cmd並執行任何命令（CWE-78）。

　　Netgear DGN1000和DGN2200 v1路由器漏洞：內置Web伺服器不會對包含了«currentsetting.htm» 的URL進行驗證，攻擊者可以利用該漏洞繞過伺服器的驗證機制並在設備上使用管理員權限執行任意代碼（CWE-20）。

　　Linksys E1500/E2500路由器漏洞

　　1.ping_size參數可以不經過安全驗證，這樣攻擊者就可以輸入和執行任意的shell命令（CWE-78）；

　　2.攻擊者可以在用戶不知情的情況下更改當前密碼（CWE-620）。

　　D-Link DIR-600和DIR-300漏洞

　　1.在命令提示符下沒有訪問限制和輸入驗證，允許攻擊者輸入和執行任意命令。例如，運行telnetd（CWE-78）；

　　2.攻擊者可以更改設置的密碼，即使它是未知的(CWE-620)；

　　3.密碼沒有經過哈希並以純文本形式存儲（CWE-256）；

　　4.未經授權的情況下，攻擊者就可以訪問有關設備型號名稱，固件版本，語言和MAC地址以及Linux內核（CWE-200）；

　　5.訪問有關作業系統及其位置的信息（CWE-200）；

　　6.在SSID參數中沒有驗證輸入命令，如果攻擊者試圖訪問version.txt文件時，則會運行輸入代碼，此時認證不是必需的（CWE-79）。

　　Avtech監控攝像機漏洞：

　　1.密碼存儲在一個文本文件中，如果可以訪問設備，則還可以訪問密碼（CWE-256）；

　　2.Web界面沒有CSRF攻擊保護（CWE-352）；

　　3.CGI腳本可以在沒有驗證的情況下在「/cgi-bin/nobody」文件夾中獲得（CWE-200）；

　　4.在DVR設備上未經授權的SSRF(授予連接到本地網絡的IP攝像頭)，可以通過修改參數ip，port和queryb64str，讓攻擊者可以通過DVR設備執行任意的HTTP請求（CWE-918）；

　　5.在DVR設備上未經授權的命令輸入，Search.cgi不會檢查接收到的參數，攻擊者可以使用它來執行遠程代碼執行（CWE-78）；

　　6.通過在URL請求中添加「.cab」或「/nobody」 繞過驗證（CWE-287）；

　　7.從目錄的根目錄中非法加載文件(CWE-22)；

　　8.輸入「login = quick」參數繞過驗證碼驗證（CWE-693）；

　　9.exefile參數不會被檢測，因此，攻擊者可以使用管理員權限執行任意系統命令（CWE-78）；

　　10.DoShellCmd函數參數不會被檢測，攻擊者可以使用管理員權限執行任意系統命令（CWE-78）；

　　11.PwdGrp.cgi會使用用戶名、密碼和一個組的參數來創建或修改系統命令中的用戶，而不被檢測（CWE-78）。

責任編輯：韓希宇