Mirai 變種 Miori 再進化:IoT殭屍網路透過ThinkPHP遠端程式碼執行漏洞散播

對許多的物聯網(IoT ,Internet of Thing使用者來說,針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體,一直被用在許多的攻擊活動中,會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後,出現了各種不同的Mirai變種和衍生病毒。

我們分析了一個稱為「Miori」的Mirai變種,它會透過PHP框架(ThinkPHP)的遠端程式碼執行(RCE)漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是,我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。

除了Miori,有幾隻已知Mirai變種(如IZ1H9和APEP)也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器,就會將其變成殭屍網路的一部分,用來進行分散式阻斷服務(DDoS)攻擊。

檢視Mirai變種 – Miori

Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體:

Figure 1. RCE downloads and executes Miori malware

圖1.、RCE下載並執行Miori惡意軟體

一旦執行,Miori惡意軟體會輸出下列資訊到終端畫面:

Figure 2. Miori infects device

圖2、Miori感染設備

 

它會用暴力破解攻擊透過Telnet來攻擊其他IP。還會經由端口42352(TCP / UDP)接收C&C伺服器的命令。接著發出命令「/bin/busybox MIORI」來確認目標系統的感染狀態。

Figure 3. Miori sends command

圖3、Miori發出命令

 

我們解密了內嵌在Miori惡意軟體內的設定表並找到下列值得注意的字串。我們也列出了惡意軟體所用的使用者名稱和密碼,其中有預設密碼跟容易被猜到的密碼。

 

Mirai變種:Miori

XOR key:0x62

使用者名稱/密碼值得注意的字串
1001chin
adm
admin123
admintelecom
aquario
default
e8ehome
e8telnet
GM8182
gpon
oh
root
support
taZz@23495859
telecomadmin
telnetadmin
tsgoingon
ttnet
vizxv
zte
/bin/busybox kill -9
/bin/busybox MIORI (確認感染狀態)
/bin/busybox ps (kills parameters)
/dev/FTWDT101\ watchdog
/dev/FTWDT101_watchdog
/dev/misc/watchdog
/dev/watchdog
/dev/watchdog0
/etc/default/watchdog
/exe
/maps
/proc/
/proc/net/route
/proc/net/tcp
/sbin/watchdog
/status
account
enable
enter
incorrect
login
lolistresser[.]com (C&C伺服器)
MIORI: applet not found (確認感染狀態)
password
shell
system
TSource Engine Query
username
your device just got infected to a bootnoot

表1、Miori的相關帳密和字串

 

仔細檢查後發現有兩個網址也被另外兩個Mirai變種(IZ1H9和APEP)所用。我們接著檢查了兩個網址所包含的程式(x86版本)。這兩個變種都使用跟Mirai和Miori相同的字串反混淆技術,我們同樣能夠解密其設定表。

 

hxxp://94[.]177[.]226[.]227/bins/

Mirai變種:IZ1H9

XOR key:0xE0

使用者名稱/密碼值得注意的字串
00000000
12345
54321
123456
1111111
20080826
20150602
88888888
1234567890
/ADMIN/
admin1
admin123
admin1234
antslq
changeme
D13hh[
default
ezdvr
GM8182
guest
hi3518
ipc71a
IPCam@sw
ipcam_rt5350
juantech
jvbzd
klv123
klv1234
nimda
password
qwerty
QwestM0dem
root123
service
smcadmin
support
svgodie
system
telnet
tl789
vizxv
vstarcam2015
xc3511
xmhdpic
zlxx.
zsun1188
Zte521
/bin/busybox IZ1H9 (確認感染狀態)
/bin/watchdog
/dev/FTWDT101\ watchdog (關閉watchdog)
/dev/FTWDT101_watchdog
/dev/misc/watchdog
/dev/watchdog
/dev/watchdog0
/dev/watchdog1
/etc/default/watchdog
/etc/resolv.conf
/proc/
/proc/net/tcp
/sbin/watchdog
assword
enable
enter
IZ1H9: applet not found
j.#0388 (執行後輸出到終端機)
linuxsh
linuxshell
nameserver
ncorrect
system
TSource Engine Query

表2、IZ1H9的相關帳密和字串

 

hxxp://cnc[.]arm7plz[.]xyz/bins/

Mirai變種:APEP

XOR key:0x04

使用者名稱/密碼C&C伺服器值得注意的字串
123456
888888
20150602
1q2w3e4r5
2011vsta
3ep5w2u
admintelecom
bcpb+serial#
default
e8ehome
e8telnet
fliruser
guest
huigu309
juniper123
klv1234
linux
maintainer
Maxitaxi01
super
support
taZz@01
taZz@23495859
telecomadmin
telnetadmin
tsgoingon
vstarcam2015
Zte521
ZXDSL
cnc[.]arm7plz[.]xyz
scan[.]arm7plz[.]xyz
%4’%-\F
/bin/busybox APEP (確認感染狀態)
/bin/watchdog (關閉watchdog)
/dev/FTWDT101/watchdog
/dev/FTWDT101_watchdog
/dev/misc/watchdog
/dev/watchdog
/dev/watchdog0
/etc/default/watchdog
/etc/watchdog
/maps/
/proc/
/proc/net/tcp
/sbin/watchdog
/status
CIA NIGGER
enable
enter
incorrect
linuxshell
password
shell
start
system
terryadavis

表3、APEP的相關帳密、C&C伺服器和字串

 

值得注意的是,除了透過Telnet進行暴力破解攻擊外,APEP還會利用漏洞CVE-2017-17215散播,這是另一個影響華為HG532路由器的RCE漏洞。據報此漏洞也與Satori和Brickerbot變種有關。華為已經發布了安全通知來介紹避免漏洞被攻擊的作法。

Figure 4. Exploit related to CVE-2017-17215

圖4、CVE-2017-17215相關漏洞攻擊碼

 

結論和建議

利用Telnet的預設密碼和暴力破解來入侵連網設備並不是新聞。許多使用者可能忽略或忘記變更能夠被用來入侵的出廠預設密碼。Mirai就是這樣帶動其他殭屍網路病毒利用預設帳密和漏洞來進行攻擊。建議使用者必須要變更設備的預設密碼和設定來防止遭到駭客劫持。一般原則,智慧型設備的使用者應該要定期更新設備。這可以防堵會被當作進入點的漏洞,也可以改進設備的功能。最後,可以的話請啟用自動更新功能。

使用者也可以使用能夠抵禦這些威脅的物聯網安全解決方案。趨勢科技的Smart Home Network透過下列入侵防禦規則來保護使用者封鎖此威脅:

  • 1135215 WEB ThinkPHP Remote Code Execution

 

入侵指標(IoC

SHA-256
ee9c7a5b9f7059bdd0649eaaa0adb762683c79fbda91746048332813b44fa1e2Backdoor.Linux.MIRAI.AR
0d3a8933735a8d19c234db8a5ba1a0c2de390ae59b7298494a4e3bf139851d5fBackdoor.Linux.MIRAI.AR
a6956f98deec26bdaed948cd36ef6bfe954dbba227fd66ad3babd3a7fa4b4d96Backdoor.Linux.MIRAI.AR
239c9aeec6e17a2739c12b7a4821b99be53375b085210a14d2f4f3e362dd3b7cBackdoor.Linux.MIRAI.AR
adb8271ed2342f50fd602353251574504672992db45fdde7e1e9a223cbd9a10aBackdoor.Linux.MIRAI.AR
868a582cd87418faac09859527b1b9405b287799429c424552551a5a3ddfe1b3Backdoor.Linux.MIRAI.AR
25a5415a04ff746d0cfa4f5e82b00d7aaac60e92424dd94bb8cf9626e6b724efBackdoor.Linux.MIRAI.AR
f271d7a3290581f552376cf00006b961fcf54b0d9aa1365c4550113a1132f32dBackdoor.Linux.MIRAI.AR
bd188c69264362b8a09d14af6196b83a6c3da5d6d3b6dc95b97fe87108500c91Backdoor.Linux.MIRAI.AR
c5e79ceb1878ad4aebf3e8a33a66aeed535aecc1e5ebca0dd0122a6ecfbfe207Backdoor.Linux.MIRAI.AS
e51c2675430ebb1e49b4187508eae926fdfc52560074a23f937fe50c72c3d56dBackdoor.Linux.MIRAI.AS
76049e93887525e097c9fd06bdc31dad6a118082f5b2fc581020ae11ad80be95Backdoor.Linux.MIRAI.AS
119c33956bb26fdb697b2e042cde106c98cb1562fdbd5bb2acb2d8e7e603a303Backdoor.Linux.MIRAI.AS
4825e628d3d6442870821823c14bac5bcab93658e3dbf426b8e6c479320077a9Backdoor.Linux.MIRAI.AS
4dfab085dcc8d1a4ea6be2f6ca08970d238ffcd4b9ee0728d1f38070750e5f7bBackdoor.Linux.MIRAI.AS
937df675fba3e58e41514ec1881bd9298043533ca9e113b91240d916761fa704Backdoor.Linux.MIRAI.AS
d6cf67dea7f89d87636f80eba76d4bfcdd6a5fc6540967c446c33522e95f156eBackdoor.Linux.MIRAI.AS
1b20bedd8a69695ba30a4284c19fe84e5926ed8de4f9074b4137ee07e6674d77Backdoor.Linux.MIRAI.AS
37b6a3b2ca8681abfcaa79868963046aeaab8a46e123d5311d432bd9d11fcc80Backdoor.Linux.MIRAI.AS
19eb54eea5dfd71d5753ed94e1845fa81b88545f47c14a2c90960da8e06e6c1bBackdoor.Linux.MIRAI.AS
ec77dcab385c31bbbf228df92dcaecc947279c3143afc478807184395b06a6e6Backdoor.Linux.MIRAI.AS
83619527ba2e4c20d1eb5206f058ca55358b4b3ac032ee8d22616a020c8853d0Backdoor.Linux.MIRAI.AS
27f6c7ce88d874a270d197bb91d419783bf5e08e16fa43ced57607748f2fc5b2Backdoor.Linux.MIRAI.AS
404ea2a77693b0ab4c76da65aae7451d83d621a75b8eb8d2736998bf1c23ecf3Backdoor.Linux.MIRAI.AS
64e1f581d42f2c9e0c1f13b4f814d4a4b0cad2e3ac1c8a754f6a912ab07b4bc1Backdoor.Linux.MIRAI.AS
231d0913bba4b8c02f93fca2a917762eb94013d31f0ac4c9703b498b6ab9a87fBackdoor.Linux.MIRAI.AS
bf3190c7746775a7756d76d0c4bbeedeb1b4bc2a14fb3465da0bd49dfae14503Backdoor.Linux.MIRAI.AS
eba3e81fcedaaa9661c5faa41b98c1d7906fdad7f960530f936ac2ad0b921ac3Backdoor.Linux.MIRAI.AS
ad463ae6c08a085a1c45fc8da32c736bb1ced083d0cc0619a7d0a919c43a3717Backdoor.Linux.MIRAI.AS
eefa90ebde0d5d16c71315f292f86a72735e62af686a7872d1d153694582404dBackdoor.Linux.MIRAI.AS
7408a894f4c278155b5ab28ebd48269075ee73ad24dc877cecd7b41a97b6d975Backdoor.Linux.MIRAI.AS
282836e3d6649d9f97cdbf6b373329386a4fd290b87599f84f1d84ecfe5586ebBackdoor.Linux.MIRAI.AS
73036a31742e52cca9cfb02883cef62efb7f9129c14e2e2fd3064d2b4b8ec6e0Backdoor.Linux.MIRAI.AS

 

相關惡意網址:

 

hxxp://144[.]202[.]49[.]126/miori[.]mips

hxxp://144[.]202[.]49[.]126/miori[.]mpsl

hxxp://144[.]202[.]49[.]126/miori[.]arm

hxxp://144[.]202[.]49[.]126/miori[.]arm5

hxxp://144[.]202[.]49[.]126/miori[.]arm6

hxxp://144[.]202[.]49[.]126/miori[.]arm7

hxxp://144[.]202[.]49[.]126/miori[.]sh4

hxxp://144[.]202[.]49[.]126/miori[.]ppc

hxxp://144[.]202[.]49[.]126/miori[.]x86

hxxp://144[.]202[.]49[.]126/miori[.]arc

hxxp://144[.]202[.]49[.]126/php

hxxp://94[.]177[.]226[.]227/bins/

hxxp://cnc[.]arm7plz[.]xyz/bins/

hxxp://scan[.]arm7plz[.]xyz

 

@原文出處:With Mirai Comes Miori: IoT Botnet Delivered via ThinkPHP Remote Code Execution Exploit 作者:Augusto Remillano II和Mark Vicente(威脅分析師,趨勢科技