< IOT物聯網 >多達1,000多種型號,12萬臺網路攝影機,恐受殭屍病毒Persirai感染  

 

趨勢科技發現多達1000種型號的網路攝影機,被物聯網(IoT ,Internet of Thing)殭屍病毒Persirai(趨勢科技偵測為ELF_PERSIRAI.A)鎖定,這類攻擊的始作俑者是開放原始碼的後門惡意軟體Mirai,入侵了數位錄影機(DVR)和CCTV攝影機,造成的分散式阻斷服務(DDoS)攻擊,在2016年引起了相當的關注。類似的攻擊還有Hajime殭屍網路。趨勢科技透過Shodan發現約有12萬台的網路攝影機具備可被ELF_PERSIRAI.A攻擊的漏洞。令人憂心的是,許多使用者並不知道自己的網路攝影機暴露在網路上。

 

圖1:到2017年4月26日為止可被入侵的網路攝影機數量(資料來自Shodan

 

這讓惡意軟體的幕後黑手更加容易去透過TCP 81端口來連入網路攝影機。

 

行為分析

圖2:ELF_PERSIRAI.A的感染流程

 

網路攝影機通常使用通用隨插即用(UPnP),這是讓設備開啟路由器上的端口來成為伺服器的網路協定,使其成為物聯網惡意軟體顯著的目標。

登入有漏洞的介面後,攻擊者可以執行命令注入,強制網路攝影機透過以下命令連到一個下載網站:

然後下載網站會回應以下命令:

 

這些命令會從網域ntp.gtpnet.ir下載並執行惡意shell腳本

wificam.sh會下載並執行以下樣本,執行後會被刪除:

 

樣本被下載並執行後,惡意檔案會刪除自己,只在記憶體內執行。它也會將ftpupdate.sh和ftpupload.sh指到/dev/null以封鎖零時差攻擊,防止其他攻擊者去攻擊受害者的網路攝影機。不過一旦攝影機重新啟動,就會再次可以被攻擊。

受影響的網路攝影機會回報到C&C伺服器:

load.gtpnet.ir

ntp.gtpnet.ir

185.62.189.232

95.85.38.103

 

從伺服器接收命令後,網路攝影機會開始自動用幾個月前公開的零時差漏洞攻擊其他的網路攝影機。攻擊者攻擊此漏洞可以從使用者取得密碼檔案,讓他們能夠不用在意密碼強度就進行命令注入。

有效載荷(payload)的樣本如下:

圖3:ELF_PERSIRAI.A有效載荷樣本

 

網路攝影機接著會從C&C伺服器接收命令,指示它透過用戶封包協定(UDP)洪水攻擊對其他電腦進行DDoS攻擊。值得注意的是,Persirai可以用SSDP封包進行用戶封包協定(UDP)DDoS攻擊而無須偽造IP地址。

 

後門程式協定如下所示:

圖4:C&C伺服器後門程式協定

 

紅色部分代表C&C伺服器到受害者網路攝影機的連線。包含了攻擊命令和DDoS目標IP和端口。

圖5:Persirai所使用的特殊字元

 

因為我們所用的測試用網路攝影機製造商聲稱最新韌體已經解決這個漏洞,因此我們嘗試更新網路攝影機的韌體。然而韌體顯示已經使用了最新版本。

圖6:網路攝影機韌體

 

結論和緩解方式

 

除了是讓物聯網安全引起關注的第一個惡意軟體,我們也注意到Mirai的開放原始碼讓它成為未來物聯網惡意軟體核心範本的潛力。

隨著物聯網市場引起一般使用者的關注,網路罪犯可能會從原本利用網路時間協定(NTP)和網域名稱系統(DNS)伺服器來進行DDoS攻擊轉向有漏洞的設備,這是使用者沒有嚴格實施安全措施所造成的問題。

 

這些攻擊事件有很大數量是因為在設備上使用預設密碼。因此,使用者應該要盡快變更預設密碼,並且為設備設置強密碼。

不過還是有如上所提的密碼竊取漏洞存在,強密碼本身並不能保證設備的安全。網路攝影機使用者也該採取其他措施來確保自己的設備不會遭受外部攻擊。除了使用強密碼,使用者也應該停用路由器的UPnP協定以防止網路內部設備在沒有任何警告下打開對外部網路的端口。

物聯網安全的責任並不只是在使用者身上,廠商也必須負起責任,必須負責確保自己的設備安全,持續加以更新。同樣地,使用者要確保自己的設備始終更新到最新韌體版本,以盡量減少漏洞攻擊的機會。

 

趨勢科技解決方案

除了上面所提到的最佳實作,使用者可以尋求如趨勢科技PC-cillin這樣的解決方案,其安全功能可以在端點偵測惡意軟體來有效地防護針對物聯網設備的威脅。聯網設備可以透過如趨勢科技Home Network Security這樣的安全解決方案加以防護,能夠檢查路由器和所有連接設備間的網路流量。此外,企業可以透過趨勢科技Deep Discovery Inspector來監視所有端口和網路協定來偵測進階威脅和防護針對性攻擊。

 

Deep Discovery Inspector透過以下DDI規則來保護客戶免於此威脅:

  • DDI beta rule 3664: “IP Camera Remote Code Execution – HTTP (Request)”
  • DDI beta rule 3665: “IP Camera Authentication Bypass – HTTP (Request)”

 

趨勢科技Home Network Security的使用者可以透過以下特徵碼得到保護:

  • 1133578 WEB GoAhead system.ini Information Disclosure Vulnerability -1 (CVE-2017-5674)
  • 1133642 WEB GoAhead system.ini Information Disclosure Vulnerability -2 (CVE-2017-5674)
  • 1133641 WEB Shell Spawning Attempt via telnetd -1.u

 

用於偵測的Yara規則提供如下:

rule Persirai {

meta:

description = “Detects Persirai Botnet Malware”

author = “Tim Yeh”

reference = “Internal Research”

date = “2017-04-21”

hash1 = “f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489”

hash2 = “e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c”

hash3 = “35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32”

hash4 = “ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c”

hash5 = “ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f”

 

strings:

$x1 = “ftpupload.sh” fullword ascii

$x2 = “/dev/misc/watchdog” fullword ascii

$x3 = “/dev/watchdog” ascii

$x4 = “:52869/picsdesc.xml” fullword ascii

$x5 = “npxXoudifFeEgGaACScs” fullword ascii

 

$s1 = “ftptest.cgi” fullword ascii

$s2 = “set_ftp.cgi” fullword ascii

$s3 = “2580e538f3723927f1ea2fdb8d57b99e9cc37ced1” fullword ascii

$s4 = “023ea8c671c0abf77241886465200cf81b1a2bf5e” fullword ascii

 

condition:

uint16(0) == 0x457f and filesize < 300KB and

(

( 1 of ($x*) and 1 of ($s*) ) or

2 of ($s*)

)

}

 

偵測為ELF_PERSIRAI.A的相關SHA256哈希:

  • d00b79a0b47ae38b2d6fbbf994a2075bc70dc88142536f283e8447ed03917e45
  • f974695ae560c6f035e089271ee33a84bebeb940be510ab5066ee958932e310a
  • af4aa29d6e3fce9206b0d21b09b7bc40c3a2128bc5eb02ff239ed2f3549532bb
  • aa443f81cbba72e1692246b5647a9278040400a86afc8e171f54577dc9324f61
  • 4a5ff1def77deb11ddecd10f96e4a1de69291f2f879cd83186c6b3fc20bb009a
  • 44620a09441305f592fb65d606958611f90e85b62b7ef7149e613d794df3a778
  • a58769740a750a8b265df65a5b143a06972af2e7d82c5040d908e71474cbaf92
  • 7d7aaa8c9a36324a2c5e9b0a3440344502f28b90776baa6b8dac7ac88a83aef0
  • 4a5d00f91a5bb2b6b89ccdabc6c13eab97ede5848275513ded7dfd5803b1074b
  • 264e5a7ce9ca7ce7a495ccb02e8f268290fcb1b3e1b05f87d3214b26b0ea9adc
  • ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c
  • ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f
  • f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489
  • e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c
  • 35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32

 

@原文出處:Persirai: New Internet of Things (IoT) Botnet Targets IP Cameras 作者:趨勢科技(Tim Yeh、Dove Chiu和Kenney Lu)