自從兩個F5 BIG-IP漏洞在7月第一周被披露之後,趨勢科技就持續地監視並分析這些漏洞及相關活動來進一步評估其嚴重性。根據對CVE-2020-5902所發布的解決方法,我們發現一個物聯網(IoT)Mirai殭屍網路下載器(趨勢科技偵測為Trojan.SH.MIRAI.BOI)可以被加入新惡意軟體來掃描找出對外暴露的Big-IP裝置,進而入侵並進行惡意行為。
我們發現的樣本還會去攻擊常見裝置及軟體最近被披露而可能尚未修補的漏洞。建議系統管理員和相關裝置使用者要立即修補自己的工具。
行為
如先前所報導,此安全漏洞是針對BIG-IP流量管理用戶介面(TMUI)的遠端程式碼執行(RCE)漏洞。分析已發布的資訊之後,我們從Apache httpd的緩解規則裡注意到一種可能利用此漏洞的做法是在HTTP GET請求的URI裡包含分號。分號在Linux命令中代表已完成,這也是觸發漏洞所需要的字元。為了進一步分析,我們用下列Yara規則來測試IoT殭屍網路作者是否可以在現有或新惡意軟體加入掃描功能:
趨勢科技發現了一隻使用了13種不同漏洞的新Mirai變種(偵測為Backdoor.Linux.MIRAI.VWIPT),這些漏洞幾乎都在之前的Mirai攻擊出現過。這是隻典型的Mirai變種,具有後門及分散式阻斷服務(DDoS)功能。但這是第一次使用所有13個漏洞的案例。
這起攻擊發生在我們上次報導Mirai攻擊活動後幾週,針對了各種路由器。上次報導中所提到的一些漏洞也被用於此變種。
趨勢科技一開始發現此新變種是來自於我們一個收集物聯網(IoT ,Internet of Thing)相關攻擊的蜜罐系統。可以看出此惡意軟體使用了各種不同的散播方式,還發現它會用三個XOR密鑰來加密資料。用XOR解密惡意軟體字串後發現了Mirai變種的指標。可以從圖1中看到解密字串。
繼續閱讀對許多的物聯網(IoT ,Internet of Thing)使用者來說,針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體,一直被用在許多的攻擊活動中,會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後,出現了各種不同的Mirai變種和衍生病毒。
我們分析了一個稱為「Miori」的Mirai變種,它會透過PHP框架(ThinkPHP)的遠端程式碼執行(RCE)漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是,我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。
除了Miori,有幾隻已知Mirai變種(如IZ1H9和APEP)也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器,就會將其變成殭屍網路的一部分,用來進行分散式阻斷服務(DDoS)攻擊。
檢視Mirai變種 – Miori
Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體:
圖1.、RCE下載並執行Miori惡意軟體
一隻被稱為OMG的新Mirai變種(趨勢科技偵測為ELF_MIRAI.AUSX)被發現會攻擊物聯網 IoT ,Internet of Thing)設備並將其轉變成代理伺服器。一個研究團隊發現了這隻新Mirai變種,它保留了Mirai原本的分散式阻斷服務(DDoS)攻擊功能,不過也修改了原始程式碼內的一些配置。
據這研究團隊所言,OMG能夠做到原始版本的功能:檢查與其他殭屍程式相關的開放端口及程序來終止Telnet、SSH和HTTP相關程序,使用Telnet暴力攻擊散播以及進行阻斷服務攻擊。關鍵性差別是OMG的代理服務功能。網路犯罪分子經常用代理服務來進行駭客攻擊和其他惡意活動。而且也可以販賣代理服務給其他網路犯罪分子來賺錢。研究人員指出這新變種會用兩個新字串來加入防火牆規則以允許兩個隨機端口上的流量通過。
Mirai(被偵測為ELF_MIRAI)是日語的“未來”,因其所能造成的損害而聞名。自從在2016年9月將原始碼發佈在駭客論壇上後成為了一個開放原始碼惡意軟體,它被廣泛地使用,並且修改得更加強大。 繼續閱讀
惡名昭彰的「Mirai」物聯網 (IoT) 殭屍網路病毒 (趨勢科技命名為 ELF_MIRAI 家族) 又再度出現在一波新的攻擊行動當中,此次的目標是阿根廷,攻擊的徵兆是連接埠「2323」和「23」流量暴增。隨後,攻擊行動又擴散至南美和北非國家,趨勢科技在哥倫比亞、厄瓜多爾、巴拿馬、埃及、突尼西亞等國偵測到一系列攻擊與大量 Mirai 病毒活動。同時,在阿根廷境內的活動也增加。
針對這最新的第二波攻擊,我們總共蒐集到六個國家的資料。從 UTC 時間 11 月 29 日 2:00 至 11 月 29 日 8:00 這段期間,我們總共偵測到 371,640 次攻擊 (來自 9,000 個左右的非重複 IP 位址)。此波攻擊的主要目標為哥倫比亞,此外,厄瓜多爾、阿根廷、埃及和突尼西亞的情況也類似。唯一的例外是巴拿馬,其受攻擊的時間較晚,數量也較其他國家少。下圖顯示第一波攻擊 (針對阿根廷) 與第二波攻擊 (針對哥倫比亞和巴拿馬) 的攻擊數量比較:
圖 1 和圖 2:第一波和第二波攻擊的時間和數量 (皆為 UTC 時間)。
從上圖可看出清楚的攻擊模式:第一波最早大約是從 11 月 22 日的 16:00 左右開始,一直持續到 11 月 25 日 1:00 左右,攻擊數量才下降至 1,000。第二波最早開始於 11 月 29 日 4:00 左右,與針對阿根廷那一波攻擊不同的是,第二波攻擊的數量分布較為平均。哥倫比亞所承受的攻擊數量最多。這波攻擊第一個高峰出現在 11 月 29 日隨後逐漸消退。緊接著在 12 月 1 日 8:00 至 9:00,又出現第二次高峰,而且創下哥倫比亞單一小時攻擊量最高紀錄 (80,825 次,在 7:00 左右)。 繼續閱讀