新Mirai僵尸网络活动针对DVR设备
摘要
利用已知安全漏洞在易受攻击系统上部署僵尸网络是一个广泛认可的问题。许多自动化僵尸程序不断在网络上搜索服务器和联网设备中的已知漏洞,特别是那些运行流行服务的设备。这些僵尸程序通常携带针对HTTP服务的远程代码执行(RCE)漏洞利用,允许攻击者在GET或POST请求中嵌入Linux命令。
我们最近在蜜罐服务中观察到利用CVE-2024-3721尝试部署僵尸程序的活动。这个僵尸变体被证明是臭名昭著的Mirai僵尸网络的一部分,针对基于DVR的监控系统。DVR设备设计用于记录摄像头数据,被许多制造商广泛使用,并可以远程管理。本文描述了新Mirai僵尸程序的功能及其改进的感染向量。
漏洞利用
在审查Linux蜜罐系统日志时,我们注意到一个与CVE-2024-3721相关的异常请求行。该漏洞允许在TBK DVR设备上未经适当授权执行系统命令,使用特定的POST请求作为入口点:
|
|
POST请求包含一个恶意命令,这是一个单行shell脚本,用于在受感染机器上下载并执行ARM32二进制文件:
|
|
通常,僵尸感染涉及shell脚本,最初会调查目标机器以确定其架构并选择相应的二进制文件。然而,在这种情况下,由于攻击专门针对仅支持ARM32二进制文件的设备,侦察阶段是不必要的。
恶意软件植入 - Mirai变体
Mirai僵尸网络的源代码近十年前在互联网上发布,此后被各种网络犯罪团体改编和修改,以创建主要专注于DDoS和资源劫持的大规模僵尸网络。
DVR僵尸程序也基于Mirai源代码,但包含了不同的功能,如使用RC4的字符串加密、反虚拟机检查和反仿真技术。我们已经在许多文章中介绍了Mirai,因此将重点介绍这个特定变体的新功能。
数据解密
这个变体中的数据解密例程实现为一个简单的RC4算法。
RC4密钥使用XOR加密。密钥解密后,我们能够获得其值:6e7976666525a97639777d2d7f303177。
解密的RC4密钥用于解密字符串。每段数据解密后,会插入到一个自定义DataDecrypted结构的向量中,这是一个简单的字符串列表。
反虚拟机和反仿真
为了检测是否在虚拟机或QEMU中运行,恶意软件会列出所有进程,直到找到任何提及VMware或QEMU-arm的内容。在Linux上,列出运行进程只需打开/proc目录,这是proc文件系统。
每个进程ID(PID)都有自己的文件夹,包含有用信息,如cmdline,描述了用于启动进程的命令。利用这些信息,恶意软件验证是否有任何进程在其命令行中包含VMware或QEMU-arm。
植入程序还验证僵尸进程是否在预期目录之外运行,基于硬编码的允许目录列表。
一旦这些检查成功完成,Mirai将继续正常执行,准备易受攻击的设备接收操作员的命令。
感染统计
根据我们的遥测数据,大多数受感染受害者位于中国、印度、埃及、乌克兰、俄罗斯、土耳其和巴西等国家。很难确定全球易受攻击和受感染设备的准确数量。然而,通过分析公共来源,我们已识别出超过50,000个在线暴露的DVR设备,表明攻击者有大量机会针对未打补丁的易受攻击设备。
结论
利用未打补丁的IoT设备和服务器中的已知安全漏洞,以及针对基于Linux系统的恶意软件的广泛使用,导致大量僵尸程序不断在互联网上搜索要感染的设备。
此类僵尸程序的主要目标是执行使网站和服务不堪重负的攻击(DDoS攻击)。大多数这些僵尸程序在设备重启后不会保持活动,因为某些设备固件不允许更改文件系统。为防止此类感染,我们建议在安全补丁可用后立即更新易受攻击的设备。另一件要考虑的事情是,如果您的设备确实易受攻击并暴露,请进行恢复出厂设置。
所有卡巴斯基产品都将此威胁检测为HEUR:Backdoor.Linux.Mirai和HEUR:Backdoor.Linux.Gafgyt。
危害指标(IOC)
基于主机的(MD5哈希)
|
|
IP地址
|
|