Masuta:Satori開發者的第二個殭屍網路,利用新的路由器漏洞實現武器化
簡介
自Mirai代碼泄漏以來,物聯網領域出現了許多殭屍網路。雖然其中一些只是Mirai的拷貝,但也有人增加了新的攻擊手段,大多是利用路由器漏洞來開展攻擊。我們分析了一個名為Masuta的物聯網殭屍網路的兩個變種,在其中我們注意到一個很有名氣的物聯網攻擊者參與此事件,並發現一個路由器漏洞在殭屍網路中首次武器化。
Masuta代碼泄露及緣由
我們只能在地下論壇上獲取到Masuta(日語,master)殭屍網路的源代碼。分析配置文件之後,我們看到Masuta使用0xdedeffba而不是Mirai的0xdeadbeef作為密鑰的種子,因此配置文件中的字元串都被異或0x45=((DE ^ DE)^ FF)^ BA。
現在用0x45來異或配置文件,我們得到nexusiotsolutions.net,這是一個已知的C2網址,涉及最近的Satori攻擊,其使用了華為路由器一個0 day。
WHOIS上查詢此URL信息,聯繫方式為nexuszeta1337 @ gmail.com,表明Nexus Zeta不僅是Satori的創造者,而且還參與了Masuta殭屍網路的創建。
標準的Masuta變體使用幾個已知的/弱/默認的憑據來訪問它所攻擊的物聯網設備。
從9月份以來Masuta攻擊一直在上升, 蜜罐在過去三個月中觀察到2400個涉及殭屍網路的IP地址。上升趨勢如下圖所示:
參與Masuta攻擊的主要C2伺服器之一是n.cf0.pw或93.174.93.63。
PureMasuta變種及利用
IP地址93.17.93.63為我們提供了另一個Masuta殭屍網路的演變版本。雖然我們在Blackhat論壇上沒有獲得這個變體的源代碼,但在分析編譯的ARM二進位文件時,很明顯這不僅僅是一個常見的Masuta樣本。
Masuta變體(稱為PureMasuta)包含最典型的Mirai風格代碼,具有弱口令列表(PMMV = 「root」, TKXZT = 「vizxv」, CFOKL = 「admin」)。
如下圖所示,口令被單個位元組XOR 0x22隱藏,Mirai泄漏的另一個靈感。
然而,真正使PureMasuta從Mirai / Masuta脫穎而出的是EDB 38722 D-Link漏洞的使用。
EDB 38722 D-Link HNAP Bug
PureMasuta殭屍網路中引入的武器化bug在HNAP(家庭網路管理協議)中,該協議本身基於SOAP協議。使用hxxp://purenetworks.com/HNAP1/GetDeviceSettings來製作一個可以繞過驗證的SOAP查詢。 另外,由於不正確的字元串處理,可以運行系統命令(導致任意代碼執行)。當兩個問題結合在一起時,可以形成一個首先繞過驗證的SOAP請求,然後導致任意代碼執行。 例如,下面的字元串將導致重新啟動。
SOAPAction:「hxxp://purenetworks.com/HNAP1/GetDeviceSettings/`reboot`」
關於這個bug的詳細文章請到原文觀看。簡單地說,GetDeviceSettings之後的任何代碼都將被執行。替換reboot,PureMasuta殭屍網路從C2伺服器(通過wget)下載shell腳本並運行。下圖顯示了殭屍網路中的腳本:
我們注意到,C2伺服器(93.174.93.63)與原始Masuta變體中的相同,因此表明PureMasuta系Masuta威脅攻擊者創建。利用 poc已在exploit-db和pastebin等地方公開。 因此,我們認為攻擊者實施攻擊並不是很困難。
對Brian Krebs的痴迷
許多物聯網殭屍網路都提到了布賴恩·克雷布斯(Brian Krebs),一位知名的記者,他對Mirai進行了深入調查。Masuta也不例外,因為我們在源代碼中看到以下消息:
與此相同的信息被一個未經驗證的Nexus Zeta的twitter帳戶推出,將他與Masuta殭屍網路聯繫在一起。
結論
當涉及到與SOAP相關的攻擊時,Nexus Zeta並不陌生。在Satori殭屍網路中,已經觀察到攻擊者在實施其他兩個已知的SOAP攻擊,CVE-2014-8361和CVE-2017-17215。之前在物聯網殭屍網路中也發現了第三個SOAP漏洞TR-069。這使得EDB 38722成為物聯網殭屍網路中發現的第四個與SOAP相關的漏洞。
協議攻擊對於威脅行為者來說更為理想,因為它們通常具有更廣的範圍。一個協議可以由不同的供應商/模型來實現,並且協議本身中的一個錯誤可以被運用到更廣泛的設備上。 NewSky Security IoT Halo可以檢測到本文中提及的四個SOAP漏洞。
TAG:嘶吼RoarTalk |