67期报告汇总
安天发布《Mirai变种利用7547端口漏洞传播分析报告》
 
      近日,安天实验室联合电信云堤发布针对Mirai新变种威胁分析报告。利用捕风蜜罐捕获到Mirai新变种,该变种利用最近公布的7547端口漏洞进行传播,并对公布漏洞的payload进行了修改使之可以下载执行Mirai样本。通过对互联网流量监控,发现了大量IoT设备进行7547端口扫描,这些设备已经被新Mirai变种攻陷。

      经分析发现,近期披露的D1000 TR 064 服务器 TCP 端口 7547漏洞,攻击者会通过发送某些 TR 064 命令,来指示运行该服务器的设备打开防火墙上的 80端口。继而允许攻击者从互联网访问设备的web 管理界面。D1000 的默认登录密码是默认 Wi-fi 密码,也可以通过另一个TR064指令来获取。利用该漏洞的关键代码向端口7547发送TR064命令,设置新NTP服务器的方式,在NewNTPServer1中采用指令来解除防火墙对80访问限制。

      Mirai变种的C&C配置加密方式与源码泄露的家族没有变化。连接C&C服务器的23端口,上线包数据为0x00000001。

      在被感染的路由器执行两个命令。第一个命令是关闭7547端口,第二个命令是停止telnet服务,使用户无法远程更新固件。然后,生成随机IP,对这些IP的7547端口进行扫描与漏洞入侵。样本利用7547漏洞进行了相应的改造,使攻击者直接下载远程样本,修改可执行模式并且运行。

      通过电信云堤抽样流量分析获得如下信息:

      确认被感染具有7547扫描能力的节点主要通过包括扫描节点自身是IoT设备,扫描节点多次使用相同端口扫描,扫描节点发出攻击漏洞方法进行发现。

      确认感染设备总数:306778

      感染设备主要开放服务或设备信息包括RomPager/4.07、DVRDVS、TR069 Connect Request Server、DHT Nodes、HuaweiHomeGateway。

      目前发现感染的节点主要在地区top10如下

      巴西  107166

      英国  61854

      爱尔兰   18268

      拉美其它地区 17210

      土耳其   13863

      伊朗  11573

      澳大利亚 8002

      泰国  7159

      意大利   6243

      芬兰  5294

      随着物联网的高速发展,物联网设备数量的大幅增加,黑客利用了这一点使用其作为攻击对象和跳板进行攻击,这也提醒了物联网用户,需要提高对物联网设备的安全防护意识。提高攻击入侵物联网设备的成本,以及加强物联网设备的安全威胁监测预警,是安天已经在进行的工作。