當前位置:
首頁 > 新聞 > 華為路由器與殭屍網路不得不說的故事

華為路由器與殭屍網路不得不說的故事




長話短說



1. CheckPoint的研究人員近期在HG532華為家庭路由器中發現了一個0day漏洞,網路犯罪分子正在利用該漏洞實施攻擊。


2. 攻擊Payload已被識別為OKIRU/SATORI,即Mirai的升級變種。

3. 此次攻擊背後的嫌疑人昵稱為「Nexus Zeta」。


漏洞利用代碼


華為HG532產品漏洞利用代碼:【Python版閱讀原文】


介紹


在過去的十年里,聯網設備數量的增長已經超過了兩百億,而且隨著時間的推移,它們的智能化程度也更高了。雖然這些設備在便攜性和實用性等方面得分非常高,但CheckPoint的研究人員表示,這些設備的安全得分還未能達到標準。


攻擊分析


在2017年11月23日,CheckPoint的研究人員發現CheckPoint的某些感測器以及蜜罐系統生成了一些可疑的安全警報,經過進一步分析之後,他們發現了大量針對華為HG532設備的攻擊行為,攻擊利用的是一個未知的漏洞,發起埠為37215。



在證實了我們的之後,我們立刻將漏洞信息披露給了華為的安全團隊,並進行下一步的漏洞修復工作。
多虧了華為安全團隊的高效率工作,他們迅速修復了相關漏洞並將補丁推送給了用戶。與此同時,CheckPoint也發布了一個IPS保護模塊,已確保CheckPoint的用戶能夠在第一時間得到有效的保護。
下圖顯示的是全球範圍內受此漏洞影響的分布情況:


0 day漏洞CVE-2017-17215


華為家庭網關採用了UPnP協議,在TR-064技術標準的規範下,這種協議已被廣泛採用到了各類嵌入式設備中以簡化設備在家庭和企業環境下的無縫聯網。TR-064主要針對的是本地網路配置,比如說,它允許工程師在內部網路中輕鬆地實現基本的設備配置和固件更新等等。


在本文所要分析的攻擊場景下,華為設備所實現的TR-064標準將會通過埠37215(UPnP)暴露在外網中。


在對該設備所實現的UPnP描述進行分析之後,我們發現它支持一種名叫「DeviceUpgrade」的服務類型。這種服務可以通過向「/ctrlt/DeviceUpgrade_1」發送請求來完成固件的更新操作,這個過程還需要涉及到兩個名叫NewStatusURLNewDownloadURL的元素。


該漏洞將允許遠程管理員通過在NewStatusURLNewDownloadURL中注入Shell元字元「$()」來實現遠程任意命令執行,攻擊向量如下圖所示:



當上述代碼執行成功後,漏洞利用代碼會返回默認的HUAWEIUPNP消息,而「設備更新」活動將會完成初始化。


大家可以在下圖中看到,攻擊操作涉及到命令注入,下載惡意Payload後它將會在目標設備上執行。


VirusTotal針對惡意Payload的檢測報告如下圖所示:



工作機制


惡意Payload的功能還是比較簡單的,bot的主要功能就是利用手工製作的UPD或TCP數據包來對目標設備進行泛洪攻擊(Flooding)。


在攻擊開始時,bot會嘗試使用DNS請求(利用硬編碼域名)來解析IP地址和C&C伺服器。接下來,bot會從DNS響應中獲取目標設備的IP地址,並嘗試使用TCP協議(硬編碼埠7645)來與之完成連接。


在Mirai殭屍網路的幫助下,DNS域名以及其他的字元串將會使用簡單的異或計算(0x07)來進行解碼。


Payload中還包含有未編碼的字元串(偽造的C&C域名),但這部分數據並未使用過:



用於泛洪攻擊的數據包數量以及相應的參數將會被發送至C&C伺服器中:


下圖顯示的是C&C伺服器針對給定子網範圍所生成的隨機IP地址:



數據包發送完成之後,bot並不會等待目標主機的應答信息。除此之外,bot的代碼中還包含很多未使用的功能,其中還有很多明文字元串。就此看來,攻擊者可能會在今後的變種版本中添加更多的惡意功能。


C&C流量


在C&C通信方面,bot使用了自定義的協議。其中包含兩個硬編碼請求:



C&C請求樣本:C&C伺服器的響應信息中包含DDoS攻擊參數,如果攻擊者需要發動DDoS攻擊的話,請求信息中的起那兩個位元組必須設置為00 00或01 07,而之後所包含的就是攻擊數據了。如果前兩個位元組沒有設置成這兩個值的話,則bot將不會採取任何操作。


C&C響應樣本:



入侵威脅指標IoC

惡意伺服器&IP地址信息:



IPS&反BOT保護


我們的IPS和反BOT保護功能可以有效地防止攻擊者利用本文所介紹的0 Day漏洞來實施攻擊,我們還會繼續觀測這種類型的攻擊活動。


IPS 0-day保護:


IPS模塊-Huawei HG532路由器遠程代碼執行


反BOT保護:



1. Linux.OKIRU.A


2. Linux.OKIRU.B


* 參考來源:checkpoint,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

聲波攻擊或導致硬碟數據損壞,多種設備都需警惕
Windows用戶自查:微軟緊急更新修復Meltdown和Spectre CPU漏洞
蘋果確認Meltdown和Spectre漏洞影響所有Mac和iOS設備

TAG:FreeBuf |