威胁告警:大量ubnt设备被植入后门

近期,安恒安全研究团队监控到大量利用弱口令对22端口进行暴力破解的攻击。经过安全团队详细分析,我们发现网络上大量的ubnt设备的存在弱口令,并且已经被黑客使用自动化工具植入了后门。安恒APT网络预警平台成功的检测这次威胁攻击:

在3月19日,接到某客户网络故障反馈,安恒工程师联系客户后进行远程应急响,在客户的某台设备发现了一些可疑的shell进程.

分析发现这些shell脚本主要的功能是通过wget去下载一些可疑文件并运行,最后还删除下载的文件,造成了后期取证的困难性.

我们尝试打开涉及到的恶意页面如下:

从上图我们可以看出:

可疑 ip:222.*.*.62 的“10010”文件 在一天之内下载了 9108 次 可疑 ip:180.*.*.241 的“hope9”文件 在 48 分钟之内下载了 396 次

经过分析,我们发现两个可疑文件都是MIPS架构下的DDOS工具,国外研究人员称之为“Mr. Black”

主要的功能就是一些常见的GET_Flood、SYN_Flood、UDP_Flood等DDOS攻击方式.

第二天,我们持续观察发现其中的一台恶意文件的下载量由原来的9108次变成了15171次

一天之内增长了6千多次下载量引起了我们高度的重视.

我们通过技术手段对恶意服务器进行了控制,通过远程桌面进入后我们发现这台主机的8000端口与其他很多ip都已经建立了网络通讯

随机打开几个ip,发现都是 ubnt 的设备!

进行取证时,我们在桌面发现了大量的黑客软件

并且非常巧的是黑客也刚好远程登入了这台机器

使用netstat查找黑客IP

发现了恶意IP:139.201.133.104 ,查询ip138发先这个ip属于 “四川”

后来,我们使用工具成功抓出管理员的密码,使用administrator的帐号和密码登入后发现黑客正开着远程控制工具

从图片中可以看出:它正在监听端口是 8000,已经被黑客控制的主机数量有 564 台.

8000端口也是与我们使用“netstat”查看的结果相符合!

另外,当使用tcpview查看网络连接发现了,它还正在攻击其他IP的 9200端口.

9200端口是Elasticsearch 服务开启的端口,由于Elasticsearch旧版本存在远程命令执行的漏洞,所以可以被黑客利用攻击,其POC如下:

详情见:http://www.wooyun.org/bugs/wooyun-2014-062127

所以黑客还使用了9200端口去植入后门(linux架构的蠕虫)

注意这里攻击的是“Elasticsearch”服务器,其植入过程如下:

取证回来的相关的恶意文件后,我们发现了植入ubnt设备的工具是叫“linux命令批量执行工具”

这里的植入恶意程序的命令和在与我们在客户设备上见到的是一样的!

推测出整个攻击流程如下:

  1. 暴力破解存在弱口令的22端口
  2. 调用shell命令植入后门
  3. 黑客发送指令到被入侵的设备后进行攻击

我们从黑客的扫描后保存的结果来看,大量的ubnt设备存在弱口令,(黑客暴力破解时使用的用户名和密码就是ubnt设备出厂时的默认密码!)

.

我们随机尝试了几个设备发现都存在默认弱口令,并且多台设备被多次对植入不同URL的蠕虫

初步统计的URL包括过有:

并且包含恶意URL不停在变化(备注:并未全部包括!)

后期经过我们分析发现恶意文件发现里面存在不少包含有*.f3322.org 和*.f3322.net网站作为了恶意服务的控制端域名,这两个域名的注册信息与pubyu.com(前生是3322.org)是同一家注册,都是提供免费的二级域名的注册服务,因此备受黑客喜欢!

安恒安全团队再次提醒广大客户一定要做安全意识教育,杜绝各种弱口令、默认口令的事情发生。另外物联网飞速发展的今天,个人计算机可能不再是遭受黑客侵入的主要对象了,一切与网络相连的设备都可能被黑客们侵入,各大传统设备厂商也应该肩负起保护客户利益的责任!

安恒信息技术有限公司(DBAPPSecurity)是中国领先的专注于信息安全产品和服务的解决方案提供商,我们曾先后为北京奥运会、上海世博会、广州亚运会、深圳大运会、世界互联网大会保驾护航,为他们提供信息安全技术保障服务。我们是应用安全和数据库安全市场的绝对领航者,是政府、公安、电信、能源、金融、教育等行业信息安全领域最值得信赖的首选品牌!

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-03-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

空Word文档附件:绕过垃圾邮件过滤的新方法

安全研究人员最近发现,垃圾邮件发送者们正在使用一种新的手法绕过垃圾邮件过滤系统——空Word文档。 ? 空白Word文档 垃圾邮件附件中的文档通常伪装成发票或...

21690
来自专栏北京马哥教育

初识常见DDOS攻击手段

一、什么是DDoS? DDoS攻击就是攻击者发起的一个尝试,目的是耗尽可用于网络、应用程序或服务的资源,以致于真正的用户无法访问这些资源。它是由一组恶意软件感染...

66590
来自专栏金融民工小曾

【支付系统设计从0到1】支付业务调用方式有哪些?为什么微信公众号支付采用JSAPI方式?

对于大多数做支付系统设计的同学来说,对于支付渠道提供的调用方式都不陌生,相信大家对这些支付渠道的调用方式也了如指掌。

17020
来自专栏黑白安全

海康威视摄像头、DVR账户远程劫持漏洞

很多人用安全摄像头都不带改默认管理员用户名和口令的——意味着只要知道去看哪儿,这些人的生活就是一场持续的现场直播。尽管海康威视在2017年1月引入了Hik-Co...

49420
来自专栏FreeBuf

俄罗斯浮现新型银行木马Silence,或与Carbanak有关

近日,卡巴斯基实验室的研究人员发现了一种新型木马——Silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。 卡巴斯基的 GreAT 调...

22750
来自专栏魏艾斯博客www.vpsss.net

选择 Namesilo 注册、转移、续费域名的理由

70830
来自专栏FreeBuf

工业防火墙又出事了!施耐德工业防火墙被爆严重安全漏洞

根据国外媒体的最新报道,工业安全公司CyberX的安全研究专家在2016年工业控制系统(ICS)网络安全大会上披露了好几个严重的安全漏洞,其中就包括一个存在于施...

236100
来自专栏云基础安全

3分钟了解主机安全问题

《碟中谍4》中,位于迪拜塔137层的数据中心,网络防火墙是军用级别口令和硬件网关,破解防护困难。于是阿汤哥只身从130楼爬到137楼,进入数据中心,绕过防护设备...

76820
来自专栏安恒信息

《公安机关信息安全等级保护检查工作规范(试行)》解析

《公安机关信息安全等级保护检查工作规范(试行)》是2017年9月份发布的依据《信息安全等级保护管理办法》为规范公安机关公共信息网络安全监察部门开展信息安全等级保...

19630
来自专栏FreeBuf

网络悍匪劫持巴西网银长达5小时,数百万用户中招

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS...

206100

扫码关注云+社区

领取腾讯云代金券