對許多的物聯網(IoT ,Internet of Thing)使用者來說,針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體,一直被用在許多的攻擊活動中,會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後,出現了各種不同的Mirai變種和衍生病毒。
我們分析了一個稱為「Miori」的Mirai變種,它會透過PHP框架(ThinkPHP)的遠端程式碼執行(RCE)漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是,我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。
除了Miori,有幾隻已知Mirai變種(如IZ1H9和APEP)也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器,就會將其變成殭屍網路的一部分,用來進行分散式阻斷服務(DDoS)攻擊。
檢視Mirai變種 – Miori
Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體:
圖1.、RCE下載並執行Miori惡意軟體
一旦執行,Miori惡意軟體會輸出下列資訊到終端畫面:
圖2、Miori感染設備
它會用暴力破解攻擊透過Telnet來攻擊其他IP。還會經由端口42352(TCP / UDP)接收C&C伺服器的命令。接著發出命令「/bin/busybox MIORI」來確認目標系統的感染狀態。
圖3、Miori發出命令
我們解密了內嵌在Miori惡意軟體內的設定表並找到下列值得注意的字串。我們也列出了惡意軟體所用的使用者名稱和密碼,其中有預設密碼跟容易被猜到的密碼。
Mirai變種:Miori
XOR key:0x62
| 使用者名稱/密碼 | 值得注意的字串 |
| 1001chin adm admin123 admintelecom aquario default e8ehome e8telnet GM8182 gpon oh root support taZz@23495859 telecomadmin telnetadmin tsgoingon ttnet vizxv zte |
/bin/busybox kill -9 /bin/busybox MIORI (確認感染狀態) /bin/busybox ps (kills parameters) /dev/FTWDT101\ watchdog /dev/FTWDT101_watchdog /dev/misc/watchdog /dev/watchdog /dev/watchdog0 /etc/default/watchdog /exe /maps /proc/ /proc/net/route /proc/net/tcp /sbin/watchdog /status account enable enter incorrect login lolistresser[.]com (C&C伺服器) MIORI: applet not found (確認感染狀態) password shell system TSource Engine Query username your device just got infected to a bootnoot |
表1、Miori的相關帳密和字串
仔細檢查後發現有兩個網址也被另外兩個Mirai變種(IZ1H9和APEP)所用。我們接著檢查了兩個網址所包含的程式(x86版本)。這兩個變種都使用跟Mirai和Miori相同的字串反混淆技術,我們同樣能夠解密其設定表。
hxxp://94[.]177[.]226[.]227/bins/
Mirai變種:IZ1H9
XOR key:0xE0
| 使用者名稱/密碼 | 值得注意的字串 |
| 00000000 12345 54321 123456 1111111 20080826 20150602 88888888 1234567890 /ADMIN/ admin1 admin123 admin1234 antslq changeme D13hh[ default ezdvr GM8182 guest hi3518 ipc71a IPCam@sw ipcam_rt5350 juantech jvbzd klv123 klv1234 nimda password qwerty QwestM0dem root123 service smcadmin support svgodie system telnet tl789 vizxv vstarcam2015 xc3511 xmhdpic zlxx. zsun1188 Zte521 |
/bin/busybox IZ1H9 (確認感染狀態) /bin/watchdog /dev/FTWDT101\ watchdog (關閉watchdog) /dev/FTWDT101_watchdog /dev/misc/watchdog /dev/watchdog /dev/watchdog0 /dev/watchdog1 /etc/default/watchdog /etc/resolv.conf /proc/ /proc/net/tcp /sbin/watchdog assword enable enter IZ1H9: applet not found j.#0388 (執行後輸出到終端機) linuxsh linuxshell nameserver ncorrect system TSource Engine Query |
表2、IZ1H9的相關帳密和字串
hxxp://cnc[.]arm7plz[.]xyz/bins/
Mirai變種:APEP
XOR key:0x04
| 使用者名稱/密碼 | C&C伺服器 | 值得注意的字串 |
| 123456 888888 20150602 1q2w3e4r5 2011vsta 3ep5w2u admintelecom bcpb+serial# default e8ehome e8telnet fliruser guest huigu309 juniper123 klv1234 linux maintainer Maxitaxi01 super support taZz@01 taZz@23495859 telecomadmin telnetadmin tsgoingon vstarcam2015 Zte521 ZXDSL |
cnc[.]arm7plz[.]xyz scan[.]arm7plz[.]xyz |
%4’%-\F /bin/busybox APEP (確認感染狀態) /bin/watchdog (關閉watchdog) /dev/FTWDT101/watchdog /dev/FTWDT101_watchdog /dev/misc/watchdog /dev/watchdog /dev/watchdog0 /etc/default/watchdog /etc/watchdog /maps/ /proc/ /proc/net/tcp /sbin/watchdog /status CIA NIGGER enable enter incorrect linuxshell password shell start system terryadavis |
表3、APEP的相關帳密、C&C伺服器和字串
值得注意的是,除了透過Telnet進行暴力破解攻擊外,APEP還會利用漏洞CVE-2017-17215散播,這是另一個影響華為HG532路由器的RCE漏洞。據報此漏洞也與Satori和Brickerbot變種有關。華為已經發布了安全通知來介紹避免漏洞被攻擊的作法。
圖4、CVE-2017-17215相關漏洞攻擊碼
結論和建議
利用Telnet的預設密碼和暴力破解來入侵連網設備並不是新聞。許多使用者可能忽略或忘記變更能夠被用來入侵的出廠預設密碼。Mirai就是這樣帶動其他殭屍網路病毒利用預設帳密和漏洞來進行攻擊。建議使用者必須要變更設備的預設密碼和設定來防止遭到駭客劫持。一般原則,智慧型設備的使用者應該要定期更新設備。這可以防堵會被當作進入點的漏洞,也可以改進設備的功能。最後,可以的話請啟用自動更新功能。
使用者也可以使用能夠抵禦這些威脅的物聯網安全解決方案。趨勢科技的Smart Home Network透過下列入侵防禦規則來保護使用者封鎖此威脅:
- 1135215 WEB ThinkPHP Remote Code Execution
入侵指標(IoC)
| SHA-256 | |||||||||
| ee9c7a5b9f7059bdd0649eaaa0adb762683c79fbda91746048332813b44fa1e2 | Backdoor.Linux.MIRAI.AR | ||||||||
| 0d3a8933735a8d19c234db8a5ba1a0c2de390ae59b7298494a4e3bf139851d5f | Backdoor.Linux.MIRAI.AR | ||||||||
| a6956f98deec26bdaed948cd36ef6bfe954dbba227fd66ad3babd3a7fa4b4d96 | Backdoor.Linux.MIRAI.AR | ||||||||
| 239c9aeec6e17a2739c12b7a4821b99be53375b085210a14d2f4f3e362dd3b7c | Backdoor.Linux.MIRAI.AR | ||||||||
| adb8271ed2342f50fd602353251574504672992db45fdde7e1e9a223cbd9a10a | Backdoor.Linux.MIRAI.AR | ||||||||
| 868a582cd87418faac09859527b1b9405b287799429c424552551a5a3ddfe1b3 | Backdoor.Linux.MIRAI.AR | ||||||||
| 25a5415a04ff746d0cfa4f5e82b00d7aaac60e92424dd94bb8cf9626e6b724ef | Backdoor.Linux.MIRAI.AR | ||||||||
| f271d7a3290581f552376cf00006b961fcf54b0d9aa1365c4550113a1132f32d | Backdoor.Linux.MIRAI.AR | ||||||||
| bd188c69264362b8a09d14af6196b83a6c3da5d6d3b6dc95b97fe87108500c91 | Backdoor.Linux.MIRAI.AR | ||||||||
| c5e79ceb1878ad4aebf3e8a33a66aeed535aecc1e5ebca0dd0122a6ecfbfe207 | Backdoor.Linux.MIRAI.AS | ||||||||
| e51c2675430ebb1e49b4187508eae926fdfc52560074a23f937fe50c72c3d56d | Backdoor.Linux.MIRAI.AS | ||||||||
| 76049e93887525e097c9fd06bdc31dad6a118082f5b2fc581020ae11ad80be95 | Backdoor.Linux.MIRAI.AS | ||||||||
| 119c33956bb26fdb697b2e042cde106c98cb1562fdbd5bb2acb2d8e7e603a303 | Backdoor.Linux.MIRAI.AS | ||||||||
| 4825e628d3d6442870821823c14bac5bcab93658e3dbf426b8e6c479320077a9 | Backdoor.Linux.MIRAI.AS | ||||||||
| 4dfab085dcc8d1a4ea6be2f6ca08970d238ffcd4b9ee0728d1f38070750e5f7b | Backdoor.Linux.MIRAI.AS | ||||||||
| 937df675fba3e58e41514ec1881bd9298043533ca9e113b91240d916761fa704 | Backdoor.Linux.MIRAI.AS | ||||||||
| d6cf67dea7f89d87636f80eba76d4bfcdd6a5fc6540967c446c33522e95f156e | Backdoor.Linux.MIRAI.AS | ||||||||
| 1b20bedd8a69695ba30a4284c19fe84e5926ed8de4f9074b4137ee07e6674d77 | Backdoor.Linux.MIRAI.AS | ||||||||
| 37b6a3b2ca8681abfcaa79868963046aeaab8a46e123d5311d432bd9d11fcc80 | Backdoor.Linux.MIRAI.AS | ||||||||
| 19eb54eea5dfd71d5753ed94e1845fa81b88545f47c14a2c90960da8e06e6c1b | Backdoor.Linux.MIRAI.AS | ||||||||
| ec77dcab385c31bbbf228df92dcaecc947279c3143afc478807184395b06a6e6 | Backdoor.Linux.MIRAI.AS | ||||||||
| 83619527ba2e4c20d1eb5206f058ca55358b4b3ac032ee8d22616a020c8853d0 | Backdoor.Linux.MIRAI.AS | ||||||||
| 27f6c7ce88d874a270d197bb91d419783bf5e08e16fa43ced57607748f2fc5b2 | Backdoor.Linux.MIRAI.AS | ||||||||
| 404ea2a77693b0ab4c76da65aae7451d83d621a75b8eb8d2736998bf1c23ecf3 | Backdoor.Linux.MIRAI.AS | ||||||||
| 64e1f581d42f2c9e0c1f13b4f814d4a4b0cad2e3ac1c8a754f6a912ab07b4bc1 | Backdoor.Linux.MIRAI.AS | ||||||||
| 231d0913bba4b8c02f93fca2a917762eb94013d31f0ac4c9703b498b6ab9a87f | Backdoor.Linux.MIRAI.AS | ||||||||
| bf3190c7746775a7756d76d0c4bbeedeb1b4bc2a14fb3465da0bd49dfae14503 | Backdoor.Linux.MIRAI.AS | ||||||||
| eba3e81fcedaaa9661c5faa41b98c1d7906fdad7f960530f936ac2ad0b921ac3 | Backdoor.Linux.MIRAI.AS | ||||||||
| ad463ae6c08a085a1c45fc8da32c736bb1ced083d0cc0619a7d0a919c43a3717 | Backdoor.Linux.MIRAI.AS | ||||||||
| eefa90ebde0d5d16c71315f292f86a72735e62af686a7872d1d153694582404d | Backdoor.Linux.MIRAI.AS | ||||||||
| 7408a894f4c278155b5ab28ebd48269075ee73ad24dc877cecd7b41a97b6d975 | Backdoor.Linux.MIRAI.AS | ||||||||
| 282836e3d6649d9f97cdbf6b373329386a4fd290b87599f84f1d84ecfe5586eb | Backdoor.Linux.MIRAI.AS | ||||||||
| 73036a31742e52cca9cfb02883cef62efb7f9129c14e2e2fd3064d2b4b8ec6e0 | Backdoor.Linux.MIRAI.AS | ||||||||
相關惡意網址:
hxxp://144[.]202[.]49[.]126/miori[.]mips
hxxp://144[.]202[.]49[.]126/miori[.]mpsl
hxxp://144[.]202[.]49[.]126/miori[.]arm
hxxp://144[.]202[.]49[.]126/miori[.]arm5
hxxp://144[.]202[.]49[.]126/miori[.]arm6
hxxp://144[.]202[.]49[.]126/miori[.]arm7
hxxp://144[.]202[.]49[.]126/miori[.]sh4
hxxp://144[.]202[.]49[.]126/miori[.]ppc
hxxp://144[.]202[.]49[.]126/miori[.]x86
hxxp://144[.]202[.]49[.]126/miori[.]arc
hxxp://144[.]202[.]49[.]126/php
hxxp://94[.]177[.]226[.]227/bins/
hxxp://cnc[.]arm7plz[.]xyz/bins/
hxxp://scan[.]arm7plz[.]xyz
@原文出處:With Mirai Comes Miori: IoT Botnet Delivered via ThinkPHP Remote Code Execution Exploit 作者:Augusto Remillano II和Mark Vicente(威脅分析師,趨勢科技)