Mirai變成Miori：IoT殭屍網路通過ThinkPHP遠程代碼執行漏洞傳播

對於許多物聯網（IoT）用戶來說，智能設備中的漏洞一直是個大問題。最臭名昭著的物聯網威脅可能是不斷完善的Mirai惡意軟體，該惡意軟體已經在過去的許多攻擊行動中使用，這些攻擊行動會入侵使用默認或弱憑據的設備。自2016年源代碼泄露以來，Mirai的變種和衍生品層出不窮。

我們分析了另一個名為「Miori」的Mirai變種，它通過利用PHP框架（即ThinkPHP）中的遠程代碼執行（RCE）漏洞傳播。該漏洞相對較新，有關它的詳細信息僅在12月11日浮出水面，影響5.0.23和5.1.31之前的ThinkPHP版本。有趣的是，我們的智能保護網路最近也顯示了與ThinkPHP RCE相關的事件。我們判斷惡意行為者濫用ThinkPHP漏洞來獲取各自的收益。

除了Miori之外，還發現了幾種已知的Mirai變種，如IZ1H9和APEP，使用相同的RCE漏洞來達成其目的。上述變體都通過Telnet使用出廠默認憑證來暴力破解並傳播到其他設備。一旦這些Mirai變種中的任何一個感染Linux機器，它將成為殭屍網路的一部分，促進分散式拒絕服務（DDoS）攻擊。

探究Miori

Miori只是眾多Mirai分支中的一個。Fortinet曾描述過其與另一種稱為Shinoa的變種有著驚人的相似之處。我們自己的分析顯示，Miori背後的網路犯罪分子使用Thinkpad RCE使存在漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體：

圖1. RCE下載並執行Miori惡意軟體

執行後，Miori惡意軟體將在控制台中生成：

圖2. Miori感染設備

它將啟動Telnet暴力破解其他IP地址。它還從埠42352（TCP / UDP）偵聽來自其C&C伺服器的命令。然後發送命令「/bin/busyboxMIORI」以驗證目標系統已被感染。

圖3. Miori發送命令

我們能夠解密嵌入在其二進位文件中的Miori惡意軟體配置表，並找到以下值得注意的字元串。我們還列出了惡意軟體使用的用戶名和密碼，其中一些是默認的，還有一些很容易猜測。

·Mirai 變種: Miori

·XOR key: 0x62

表1.相關的Miori憑證和字元串

仔細觀察還發現了兩個其他Mirai變種（IZ1H9和APEP）使用的兩個URL。然後我們查看位於兩個URL中的二進位文件（x86版本）。兩個變體都使用與Mirai和Miori相同的字元串反混淆技術，我們同樣能夠解密其配置表。

·hxxp://94[.]177[.]226[.]227/bins/

·Mirai 變種: IZ1H9

·XOR key: 0xE0

表2.相關的IZ1H9憑據和字元串

·hxxp://cnc[.]arm7plz[.]xyz/bins/

·Mirai 變種: APEP

·XOR key: 0x04

表3.相關的APEP憑據，C＆C伺服器和字元串

值得注意的是，除了通過Telnet進行暴力破解之外，APEP還利用CVE-2017-17215進行傳播，其中涉及另一個RCE漏洞並影響華為HG532路由器設備。據報道，該漏洞還涉及Satori和Brickerbot變種。華為此後發布了安全通知，並概述了規避可能的利用的措施。

圖4.與CVE-2017-17215相關的漏洞利用

總結

Telnet默認密碼登錄和對連接設備的暴力攻擊並不新鮮。許多用戶可能忽略或忘記更改用於訪問易受攻擊設備出廠默認密碼。此後，Mirai催生了在攻擊中使用默認憑據和漏洞的其他殭屍網路。建議用戶更改其設備的默認設置和憑據，以阻止黑客劫持它們。作為一般規則，智能設備用戶應定期將其設備更新為最新版本。這將解決作為威脅的潛在入口點的漏洞，並且還將改進設備的功能。最後，如果設備允許，請啟用自動更新功能。

用戶還可以採用旨在抵禦這些威脅的物聯網安全解決方案。趨勢科技智能家庭網路通過此入侵防禦規則保護用戶免受此威脅：

·1135215 WEB ThinkPHP Remote Code Execution

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！