注意-polaris僵尸网络正在攻击全球Netlink路由器
注意-polaris僵尸网络正在攻击全球Netlink路由器
执行摘要
近几年,越来越多的僵尸网络逐渐把物联网设备纳入其攻击的目标,其攻击的流程、时效性均在不断发生变化。近日,我们发现了针对Netlink GPON路由器RCE漏洞的利用行为,本文将通过脆弱性、暴露情况以及威胁分析三个方面,叙述本次发现的相关活动。
通过分析脆弱性,我们发现Netlink被公开的漏洞利用较少,除了本文提到的2020年3月17日由ExploitDB公布的RCE之外,ExploitDB还存在2011年公布的一个任意文件上传漏洞。
通过分析互联网暴露情况,我们发现2020年截止目前,Netlink全网暴露460454台,暴露的端口以80端口为主,主要分布在发展中国家。从暴露资产的角度看,此次被公布漏洞利用的设备属于一款比较老的路由器产品,而这类资产往往是攻击者青睐的目标。
通过威胁分析,我们发现,漏洞利用公布的7天后(3月24日),polaris僵尸网络便通过该漏洞传播其样本,导致攻击源数量、攻击次数以及捕获到攻击的节点数量三者均呈上升趋势。整个事件的流程为:3月18日,漏洞利用公布;3月18日至3月25日,muhstik等僵尸网络利用固定的主机针对漏洞利用进行探测和验证;3月25日后僵尸网络开始利用该漏洞投递样本。同时,我们在对样本进行分析的过程中,也发现了Mirai的变种。另外,我们发现僵尸网络在验证漏洞利用的过程中,通常会尝试探测多个漏洞,且针对的目标设备从路由器到NAS,多种多样。
截至成稿,我们发现针对Netlink漏洞的利用仍呈现上升趋势,polaris僵尸网络也仍在积极更新其样本。通常,僵尸网络针对物联网设备攻击会利用较老的漏洞,但此次针对Netlink,从漏洞利用公布到僵尸网络发动僵尸主机利用该漏洞进行传播,仅用了7天时间。僵尸网络如此高的效率,也对安全团队的响应效率提出了更高的要求。
一、简介
2020年3月18日,ExploitDB公布了一个Netlink GPON路由器的远程执行漏洞(EDB-ID:48225[1]),值得注意的是公布当天,我们就捕获到了针对该漏洞的探测行为,几天后,我们发现已经有僵尸网络开始发动僵尸主机利用该漏洞投递样本,感染新的僵尸主机,本文将对此攻击展开说明。
二、脆弱性分析
该漏洞针对Netlink GPON路由器的Web服务触发的PATH_INFO为:/boaform/admin/formPing,通过向body中的特定位置插入命令,仅需发送一条POST请求即可触发RCE漏洞。漏洞细节参见EDB-ID:48225。
另外,我们也检索了ExploitDB中Netlink的其他漏洞,发现其存在一个任意文件上传漏洞的利用,详情参见EDB-ID:16088[2]。
三、暴露情况分析
通过使用绿盟威胁情报中心对Netlink的指纹进行搜索,共发现460454条记录(2020年至今的累计存活数量),端口开放情况如图 3.1 所示,从端口分布可以看出Web服务的端口数量最多,比如80,8080,8000,443都是HTTP(s)的常用端口。
图3.1 Netlink路由器开放端口情况(最近3个月累计数据)
暴露的Netlink路由器厂商分析情况如图 3.2 所示,因为Netlink是印度厂商,所以印度地区暴露数量最多也合乎情理。我们还发现,该厂商路由器主要分布在发展中国家。此外,在互联网上搜索Netlink GPON 路由器系列的相关信息少之又少,所以可以确定这应该是一款比较老的路由器产品,而这类资产往往是攻击者青睐的目标。
图3.2 Netlink路由器国家分布情况(最近3个月累计数据)
为了使得数据更加准确,我们又对其近期(4月2日)Web服务的存活情况进行统计,如图 3.3 。服务的端口主要分布在80和8080,存活总量和历史数据差距还是很大的,共有11186个IP的Web服务可以正常访问,这个数量相差这么多的原因很可能是资产的IP地址变化导致的(详情见绿盟科技《2018年物联网安全年报》[3]第二章内容)。
图3.3 Web服务存活Netlink路由器开放端口情况(4月2日)
Web服务存活的Netlink资产的国家分布(图 3.4 )和累计的资产分布(图 3.2 )对比可知,印度的存活资产相对历史资产差距最大,可见印度暴露资产的IP地址变化速度很快。
图3.4 Web服务存活Netlink路由器国家分布情况(4月2日)
四、威胁分析
1时间线
2020年3月18日
ExploitDB公布了一个Netlink GPON路由器的RCE漏洞利用。
2020年3月18日
我们捕获到利用ls/命令探测该漏洞的行为,该方法与ExploitDB公布的漏洞利用完全一致。
2020年3月22日
探测该漏洞的行为激增,相机出现利用uname -a、echo muhstik、ls -alt、curl多种命令探测该漏洞的行为。值得注意的是,muhstik是一个臭名昭著的僵尸网络家族,同时也不排除其他攻击者冒名进行探测的可能。
2020年3月24日
首次捕获到利用该漏洞投递样本的行为。
2020年3月25日
捕获到polaris僵尸网络(请求的User Agent为polaris botnet)发动僵尸主机通过该漏洞传播样本。
2020年4月1日
捕获到polaris僵尸网络正积极更新其样本。
2攻击趋势
我们对攻击次数进行了统计,如图 4.1 所示。发现攻击的次数在3月22日出现了峰值,3月24日出现了回落,但在3月24日之后,攻击次数逐渐呈上升趋势。产生这种现象的原因是,3月22日出现的峰值并非投递样本的攻击行为所致,实际上大部分为使用uname、echo muhstik命令验证漏洞的行为。3月25日后,逐渐出现僵尸网络利用该漏洞进行传播,威胁性更高。
图4.1 针对Netlink的攻击次数变化趋势
我们统计了攻击源数量变化和捕获到该攻击的节点数量变化,如图 4.2 所示。可以看出攻击源数量在3月25日前相对单一,3月25日之后,攻击源数量明显逐渐增多。而捕获到该攻击的节点数也在3月27日后呈上升趋势。由于攻击源数量反映了僵尸网络投入攻击的力度,捕获到攻击节点数量反映了受影响的范围,这两点一致呈现上升趋势可以得出结论,polaris僵尸网络正在对该漏洞加大利用力度。
图4.2 针对Netlink的攻击源和捕获到该攻击节点数量的变化趋势
最后,综合攻击源数量、攻击次数以及捕获到攻击的节点数量三者,我们发现3月24日后三者趋势均呈现上升趋势。经分析,polaris僵尸网络(请求的UserAgent)的活动导致了该现象。我们还原了针对Netlink漏洞利用相关活动的全过程:
2020年3月18日
ExploitDB公布了Netlink的漏洞利用;
2020年3月18日至3月25日
muhstik等僵尸网络利用固定的主机针对漏洞利用进行探测和验证;
2020年3月25日后
僵尸网络开始利用该漏洞投递样本,其中polaris僵尸网络尤其活跃,率先发动了僵尸主机参与传播,投入和影响范围非常明显。
3个别攻击源
我们发现在验证Netlink漏洞的初期,部分主机除了探测Netlink漏洞外,还探测了其他漏洞:
194.180.224.249:该主机位于美国,我们发现该主机除针对Netlink进行攻击外,其攻击投递的样本也保存在该主机上。另外,该主机还在利用SeowonIntech WiMAX SWC-9100路由器的一个远程代码执行漏洞投递样本,漏洞利用详情参见EDB-ID:39074[4]。还在利用CVE-2012-2336、CVE-2012-2311、CVE-2012-1823攻击Apache和PHP服务,漏洞利用详情参见EDB-ID:29290[5]。
194.59.165.66:该主机位于新加坡,我们发现该主机针对Netlink的RCE漏洞进行探测外,还在针对CVE-2020-9054[6]进行探测,目标为ZyXEL的NAS设备。
4关联恶意样本
针对Netlink漏洞的攻击行为中,来自攻击源194.180.224.249的少量攻击行为向目标设备投递恶意样本。VirusTotal将其中的部分样本识别为Mirai的变种。其中部分样本的IOC如表 4.1 。
表4.1 部分攻击行为投递的恶意样本IOC
样本SHA256 |
|---|
14754840f05e6268baaa1bbff78133b88f54b7f1946bfe4d853661685b2074ce |
1a21979b188ba72e554fd452bde7b1cb40472c8dfe7228bbb7b16fd740a1c608 |
fd203de0c44b07d5b6fe31dc613ddac20e03d8c7fe593201ad099444aacbda96 |
47f1ebc4013f0e13feeea6ed45bdca089e60331a0ebf4ca0a1f04faa3fc30f8a |
62f872698a133265f21754f023f049d5e54a3279ac9376aa24fefe4ee75bcd82 |
330be7c0813460f9bfcda1f60b36af2c6db7258e4f21c4392683b92528394a33 |
样本在运行后,向谷歌DNS请求域名attack.niggers.me的TXT记录,解析结果为"188.209.52.152"。这个域名与解析结果中的IP目前并未被开源情报标记为恶意,但我们捕获到的恶意样本有一部分已经被VT关联到此域名上了。
除此之外,恶意样本的后续行为有待进一步分析。
图4.3 样本运行时发送的TXT解析请求
图4.4 样本请求的恶意域名返回结果
5其他发现
最后,我们结合了绿盟科技威胁捕获系统和绿盟威胁情报平台NTI中的攻击源IP、3月期间暴露在互联网上的Netlink GPON路由器,以及绿盟威胁挖掘分析系统InXight攻击团伙的跟踪信息,以评估存在脆弱性的Netlink设备被攻击团伙用作DDoS攻击的风险。
我们发现部分polaris僵尸网络的僵尸主机IP和暴露在互联网上的Netlink GPON路由器被我们监控到的两个团伙所利用,进行DDoS攻击。
我们对监控到的这两个团伙用于DDoS且与Netlink资产相关的源IP数量进行了统计,如图4.5 所示。我们发现2020年3月3日和3月8日,用于DDoS的Netlink GPON路由器数量出现了激增。因而,我们推测在3月18日ExploitDB公布Netlink GPON路由器RCE之前,已经有一批Netlink GPON路由器被攻陷并用于DDoS攻击,尽管没有证据表明这两次攻击与本文的发现有关,但也应引起大家的重视。
图4.5 参与DDoS的Netlink GPON路由器数量趋势
参考文献:
[1].Exploit DB. Netlink GPON Router 1.0.11 - Remote Code Execution. https://www.exploit-db.com/exploits/48225.
[2].Exploit DB. NetLink - Arbitrary File Upload. https://www.exploit-db.com/exploits/16088.
[3].绿盟科技. 2018年物联网安全年报. http://blog.nsfocus.net/wp-content/uploads/2019/03/2018%E7%89%A9%E8%81%94%E7%BD%91%E5%AE%89%E5%85%A8%E5%B9%B4%E6%8A%A5.pdf.
[4].Exploit DB. Seowon Intech WiMAX SWC-9100 Router - '/cgi-bin/diagnostic.cgi?ping_ipaddr' Remote Code Execution. https://www.exploit-db.com/exploits/39074.
[5].Exploit DB. Apache + PHP < 5.3.12 / < 5.4.2 - cgi-bin Remote Code Execution. https://www.exploit-db.com/exploits/29290.
[6].INFORMATION TECHNOLOGY LABORATORY. CVE-2020-9054. https://nvd.nist.gov/vuln/detail/CVE-2020-9054.