华为0-day被mirai变种利用,checkpoint溯源背后黑客

12月物联网领域的明星僵尸就是“Satori”——Mirai僵尸网络的新变种。除了其疯狂的感染速度外,它最新的罪行就是有效利用了华为HG532家庭路由器零日漏洞CVE-2017-17215。

本月初,来自360 Netlab实验室的Li Fengpei表示,Satori变种会扫描37215和52869端口。Li表示,Netlab观察到12个小时内263,250个IP扫描了37215端口,19,403个IP扫描了52869端口。半天之内就出现了超过280,000个主机。

宽带互联网服务提供商CenturyLink认为这个僵尸网络使用了华为家庭网关路由器的0day漏洞,这是Check Point在11月底发现的一个远程代码执行漏洞。

virusTotal分析

近日,Check Point对此进行了进一步分析。这些事件的共同之处在于企图利用华为家庭路由器的零日漏洞CVE-2017-17215,涉及端口37215。受影响的设备支持一种名为“DeviceUpgrade”的服务类型,据称它将执行固件升级操作。通过在执行升级的两个元素中注入shell元字符“$()”,远程管理员可以在受影响的设备上执行任意代码。

通过成功利用这个漏洞,攻击者可以下载并执行恶意载荷到受影响的设备上。 Check Point指出,在这种情况下,有效载荷是Satori僵尸网络。

华为在11月27日获悉该漏洞。几天之内,公司发布了一个确认漏洞的通报,并通知用户有关规避或防止漏洞的措施:使用内置的防火墙功能,更改默认密码等。

“客户可以部署华为NGFW(下一代防火墙)或数据中心防火墙,并将IPS签名数据库升级到2017年12月1日发布的最新版本IPS_H20011000_2017120100,以检测和防御这种从互联网发起的漏洞攻击。 。

在这个Satori攻击中,僵尸工具通过手工制作的UDP或TCP数据包来洪泛目标。机器人首先尝试使用带硬编码域名的DNS请求来解析命令和控制(C&C)服务器的IP地址,然后从DNS响应中获取地址,并尝试通过硬编码目标端口(7645)上的TCP进行连接。

C&C的应答

C&C服务器提供用于泛洪动作的数据包的数量及其相应的参数,还可以将单个IP传递给攻击或子网。

研究人员发现,僵尸程序的二进制文件包含大量未使用的文本字符串,据称是从另一个僵尸程序或以前的版本继承的。

自定义协议用于C&C通信,其中包括两个硬编码的请求,用于检查服务器,然后用响应参数来启动分布式拒绝服务攻击。

在分析事件中涉及的0-day和众多服务器攻击华为设备时,安全研究人员发现,Satori僵尸网络背后的角色可能正在使用NexusZeta的在线句柄。

他们在多个黑客论坛中追踪黑客的活动,发现NexusZeta在社交媒体的活跃者,尤其是Twitter和Github,还有以Caleb Wilson(caleb.wilson37 / Caleb Wilson 37)为名的Skype和SoundCloud帐户。但无法确定这是否是攻击者的真实姓名。

研究人员根据黑客的论坛帖子得出结论,他不是一个牛B专业黑客,很可能是个利用他人智慧的业余爱好者,目前无从得知的是他如何获取的0-day漏洞。

CheckPoint对此认为:恶意软件代码的泄露,以及糟糕的物联网安全,还有黑客的推波助澜,可能导致灾难性后果。

IoC

Attack servers & Dropzones

93.97.219

211.123.69

7.59.177

106.110.90

nexusiotsolutions[.]net.

nexuszeta1337@gmail[.]com

Payloads

7a38ee6ee15bd89d50161b3061b763ea mips

f8130e86dc0fcdbcfa0d3b2425d3fcbf okiru.x86

fd2bd0bf25fc306cc391bdcde1fcaeda okiru.arm

参考:

https://research.checkpoint.com/good-zero-day-skiddie/

http://www.freebuf.com/news/156394.html

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171223B076X900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券