快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

GPON漏洞的在野行使(一):Muhstik僵尸收集

自从本次 GPON 漏洞公布以来,10 天内已经有最少 5 个僵尸收集家族在踊跃行使该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多,在以往 IoT 僵尸收集发铺中并不久不多见。

荣幸的是,当前包括 muhstik、mirai、hajime、satori 在内的其中大部分僵尸收集的攻击载荷经测试完成有问题,并不能真正植入恶意代码;mettle 虽然能够植入恶意代码,但 C2 服务器短暂出现后下线了。无论怎么样,由于这些恶意代码团伙在踊跃更新,我们仍应答他们的举动保持警惕。

muhstik 僵尸收集由我们首次批露( 讲演-2018-04 )。本次 muhstik 的更新中增添了针对包括 GPON 在内三个漏洞的行使。本轮更新后 muhstik 共有 10 种漏洞检测模块。

到北京时间 5 月 9 日,360 收集安全研究院联合安全社区关闭了部分服务器,部分减缓了 muhstik 的扩张速率。然而 muhstik 扩张的脚步并未休止,企业黑客,在 2018-05-10 10:30 GMT+8,我们观察到它启用了 165.227.78.159 替换被关闭的讲演服务器,当前我们正在与安全社区协作采取后续步履。

多个僵尸收集正在踊跃行使近来地下的 GPON 漏洞

5 月 1 号,VPN Mentor 表露了 GPON Home Routers 的两个漏洞,分别是了 CVE-2018-10561 认证绕过漏洞以及 CVE-2018-10562 命令执行漏洞。经过对已地下 PoC 的阐发,我们能够确定该漏洞行使简单有用,影响面很广,并预期会被僵尸收集用来扩大其僵尸军团。

从第二天(5 月 2 号)最先,360 收集安全研究院就陆续看到有僵尸收集在行使该漏洞扩大感染范围。到 5 月 10 日,我们累积拿获并阐发了 5 个家族的恶意代码在行使这些漏洞。

按 360 收集安全研究院观测到的时间顺序,这些僵尸收集分别是:

· mettle:一个恶意代码团伙,行使在越南的 IP 地址(C2 210.245.26.180:4441,scanner 118.70.80.143)以及 mettle 开源攻击在踊跃植入恶意代码。这是该团伙首次进入我们的视野;

· muhstik: muhstik 僵尸收集由我们起首批露(  讲演-2018-04 。在这次更新中,muhstik 增添了对 GPON(CVE-2018-10561,CVE-2018-10562)、JBOSS(CVE-2007-1036)以及 DD-WRT(web 认证爆破)的三个漏洞的行使;

· 不止一个 mirai 变种:mirai 僵尸收集 自 2016 年 9 月开源之后,被数以百计的恶意团伙行使。这次我们观察到,其中不止一个团伙正在踊跃行使该漏洞传播 mirai 变种;

· hajime:我们就 hajime 僵尸收集已经发布了两份讲演( 讲演-2017-09 ,  简报-2018-03 )。本次 hajime 也做了更新,最先感染本次 GPON 漏洞相干设备。

· satori:Satori 僵尸收集 由 360 收集安全研究院首次地下表露,其在 2017-12 月中曾经用 12 小时感染了 26 万设备,创下了观测到 IoT 僵尸收集感染速率的记录。既往关于 satori 我们发布了多份讲演( 讲演-2017-11,讲演-2017-12, 讲演-2018-01)。通过本次更新,Satori 僵尸收集也加入到瓜分 GPON 漏洞易感设备的行列。

下文集中描摹 muhstik 僵尸收集。

muhstik 僵尸收集基本情形

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 1

上图是 muhstik 僵尸收集的结构示意:

· 扫描阶段:muhstik.scanner 会提议扫描,并行使漏洞迫使 GPON 易感设备向讲演服务器汇报状态;

· 感染阶段:muhstik.infector 会行使漏洞迫使 GPON 易感设备从下载服务器下载恶意软件并装置。装置成功后设备即成为 muhstik bot,成为僵尸收集的一部分;

· 控制阶段:muhstik.c2.list 会向 bot 提议指令,请求其执行扫描、SSH 横向扩大、xmrig 挖矿、cgminer 挖矿或者提议 DDoS 攻击。

muhstik 僵尸收集的本次更新 – 扫描阶段

muhstik 本轮新增了 3 种漏洞检测模块,目前共有 10 种漏洞检测模块。其中新增的 3 种漏洞检测模块以下:

1. Gpon(CVE-2018-10561 & CVE-2018-10562)

2. JBoss(CVE-2007-1036)

3. DD-WRT(web 认证爆破)

与之对应的上报 URL 分别以下:

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 2

在上报服务器(51.254.219.134)被安全社区清除以后,上报服务器 ip 地址更新为 165.227.78.159。

目前 GPON 上报 URL 更新为:

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 3

muhstik 僵尸收集的本次更新 – 感染阶段

在感染阶段,muhstik 探测到 GPON 易感染设备以后,试图迫使其下载 muhstik.tsunami 僵尸收集样本,和 muhstik.aioscan 扫描模块。提议扫描的 IP 地址 muhstik.loader 没有变迁,仍旧是 51.254.219.137。

GPON 漏洞的扫描载荷以下:

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 4

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 5

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 6

muhstik 僵尸收集的本次更新 – 恶意代码样本

Gpon 以及 JBOSS 的漏洞检测代码体现在 aiomips 样本中(5c55d50c10f2b500b0fbcd4ade2b18ea):

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 7

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 8

DD-WRT 的漏洞检测代码体现在 aioarm 样本中(b9c8c709c89b2f9d864aa21164d25752)

GPON漏洞的在野利用(一):Muhstik僵尸网络

图9

安全社区联合步履及更新

到北京时间 5 月 9 日,我们联合安全社区关闭了多少服务器,部分减缓了 muhstik 的扩张速率,包括:

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 10

然而 muhstik 扩张的脚步并未休止,当前(2018-05-10 10:30 GMT+8)我们观察到它启用了 165.227.78.159 替换被关闭的讲演服务器。我们正在与安全社区协作采取后续步履。

新的恶意软件 url

GPON漏洞的在野利用(一):Muhstik僵尸网络

图11

IoC – muhstik

State Report URL List

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 12

Malware Download URL List

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 13

C2 List

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 14

All IP list

GPON漏洞的在野利用(一):Muhstik僵尸网络

图 15

曾经在 muhstik 控制之下,但已经被安全社区清除的 IP 列表:

GPON漏洞的在野利用(一):Muhstik僵尸网络

图16

IoC – mettle

C2 and Scanner

GPON漏洞的在野利用(一):Muhstik僵尸网络

*:360 收集安全研究院,

您可能还会对下面的文章感兴趣: