目标Avtech摄像头,Mirai僵尸网络新一轮攻击来袭
目标Avtech摄像头,Mirai僵尸网络新一轮攻击来袭
执行摘要
近期,通过绿盟威胁捕获系统,我们监测到了Mirai僵尸网络的新一轮攻击行为,它采用已知的漏洞利用手法EDB-ID:40500[1],使用域名panel.devilsden.net作为样本下载服务器,投递大量以UnHAnaAW为前缀的新型恶意样本,攻击Avtech等厂商的视频监控设备。值得一提的是,2020年7月5日攻击者利用漏洞CVE-2020-5902对F5 BIG-IP服务器进行DDoS攻击时,域名panel.devilsden.net也被用来当作恶意样本下载服务器[2]。
本文的关键发现如下:
漏洞利用方式主要有两种,一种是未授权的命令注入-Search.cgi,另一种是授权的命令注入- CloudSetup.cgi,这两种方式都能使攻击者用最高权限执行任何命令。
2020年全球暴露在互联网上的Avtech视频监控设备高达384,059个,排名前三的国家依次是泰国,越南和墨西哥,其中暴露资产数量最多的是泰国,共52,185个。
攻击者在2020年6月7日初次被发现,6月下旬开始活跃,7月12日日志数量最多,近期两种漏洞利用行为数量都开始增多。
截止2020年7月13日,共捕获到5个攻击源,它们分别来自4个不同的国家,大多数都有2种漏洞利用行为。
以UnHAnaAW为前缀的新型恶意样本共9种,初次捕获时间都是2020年7月13日,它们都来自于Mirai家族。
一、漏洞利用方式和暴露资产分析
1.1方式一:未授权的命令注入-Search.cgi
对于视频监控设备来说, Search.cgi可以用来在无需认证的情况下搜索本地网络中的相关摄像头设备。但在较新的固件版本中,Search.cgi提供的cgi_query方法在执行系统命令wget进行HTML请求时,对接受的参数不进行处理和验证。因此攻击者可以利用这个漏洞在没有任何身份验证的情况下使用最高权限执行任何命令。
POC:
1.2方式二:授权的命令注入- CloudSetup.cgi
支持Avtech云的视频监控设备在通过身份验证后就可以直接通过CloudSetup.cgi进行访问,而对后面参数exefile的内容不做任何检查或白名单过滤。因此攻击者也可以利用这个漏洞使用最高权限执行任何命令。
POC:
关于这两种漏洞利用更详细的分析见绿盟科技研究通讯文章《针对AVTECH视频监控设备的攻击者显著活跃》[3]。
1.3暴露资产情况
通过绿盟威胁情报中心(NTI),我们对全球暴露在互联网上的Avtech视频监控设备进行测绘后发现,2020年受影响的暴露资产高达384,059个,如此大的规模值得引起大家重视。图 1.1 展示了暴露资产国家分布情况,排名前三的国家依次是泰国,越南和墨西哥,其中暴露资产数量最多的是泰国,共52,185个。
图 1.1 暴露资产国家分布情况
二、攻击趋势分析
通过对相关日志数量进行统计分析,可以得到攻击趋势的变化情况。如图 2.1 所示,这些攻击者在2020年6月7日初次被发现,6月下旬开始活跃,7月12日日志数量最多,近期两种漏洞利用行为数量都开始增多。
图 2.1 攻击者活跃情况
三、攻击源分析
截止2020年7月13日,我们共捕获到5个攻击源,它们分别来自4个不同的国家,大多数都有2种漏洞利用行为,详细信息见表 3.1 。
表 3.1 攻击源详细信息
IP地址 | 国家 | 日志数量 | 活跃天数 | 利用漏洞种类 |
|---|---|---|---|---|
185.172.110.178 | 荷兰 | 1652 | 5 | 2 |
159.203.191.246 | 美国 | 1523 | 5 | 2 |
2.57.122.96 | 中国 | 559 | 1 | 2 |
45.148.10.39 | 荷兰 | 385 | 5 | 2 |
104.244.79.242 | 卢森堡 | 63 | 1 | 1 |
从目的端口维度对这些攻击源进行分析,图 3.2 展示了攻击日志的目的端口数量Top10,被攻击最多的目的端口是49153。
图 3.2 攻击源的目的端口数Top10
IOC
样本文件:
文件名 | SHA256 |
|---|---|
UnHAnaAW.arm7 | 06222bde5cc21bfe7d906fc97e4055d6308e39429dd91ce01bdb5f85d160f32f |
UnHAnaAW.m68k | f2b912e2e3fd7e469b90d374d90d0446915a0beadb011bb8ac65c48e27647f07 |
UnHAnaAW.arm6 | 371bf5ae50329b6ec70af2b1c652a055ed0ae8e9135d140c2d93b24fae81344f |
UnHAnaAW.mpsl | 7e885b3aac5a8899f0dc2e700403032a65e428ded336275161e1e2c2277ba5a9 |
UnHAnaAW.mips | 9188915287e3bc205e1b0d2322fbd869e0edac4c022e2228d283c78775d3180a |
UnHAnaAW.sh4 | 300829b16f75f336e5d947ed56bba22060382bf2bb975c367974311f291f3f59 |
UnHAnaAW.arm4 | 9d6465be48f4cb305d7e5dddbda08de5eeb3b0d21957679f4e095073b74c04e0 |
UnHAnaAW.ppc | 564e20b9d0e430969130e6fdbe0da2593995f629fb8e456cf79149c420f3702f |
UnHAnaAW.arm5 | ae0b58a817b3a628ff767f607de0161706ac174bd90471d2c9b61ef5feece027 |
UnHAnaAW.x86 | 979092045d17bea463d5683a34d9a9265af053a9b73005629f49948f1ba27030 |
恶意样本下载服务器:
185.172.110.178
域名:
panel.devilsden.net
参考文献
[1]https://www.exploit-db.com/exploits/40500
[2]https://badpackets.net/over-3000-f5-big-ip-endpoints-vulnerable-to-cve-2020-5902/
[3]https://mp.weixin.qq.com/s/gCF8-pQKItZfh_aVPHXDzA
内容编辑:周鸿屹,张星 责任编辑: 王星凯
往期回顾
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。