Mirai 僵尸网络将 CVE

今年 7 月披露了两个 F5 BIG-IP RCE 漏洞之后,我们继续监视和分析这些漏洞及其相关攻击活动,以进一步了解其严重性。根据针对CVE-2020-5902发布的补丁方法,我们找到了一个物联网(IoT)Mirai僵尸网络下载程序,可以将其添加到新的恶意软件中进行扫描攻击。

https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/securing-routers-against-mirai-home-network-attacks

我们发现的样本还尝试利用常用设备和软件中最近披露的潜在未修补漏洞。

此漏洞是 BIG-IP 管理界面中的远程代码执行(RCE)漏洞,即管理用户界面(TMUI)。在分析了已发布的信息之后,我们从 Apache httpd 的缓解规则中注意到,利用此漏洞的一种可能方法包括在 URI 中包含分号字符的 HTTP GET 请求。

https://github.com/f5devcentral/f5-azure-saca/commits/master/SACAv2/STIG/bigipstig.sh

在 Linux 命令行中,分号向解释器发送命令行已完成的信号,这是漏洞需要触发的一个字符。为了进一步分析,我们测试了 IoT 僵尸网络作者是否可以通过以下 Yara 规则为现有新的恶意软件变体添加扫描功能:

图 1. 用于检查恶意软件的 Yara 规则

尽管用于测试的规则看起来很简单,但它足以使我们可以检查各种恶意软件,Python 或 Ruby PoC。从 7 月 1 日披露之日起,我们发现了 7 月 11 日编译为 MIPS 架构的 ELF 文件的第一个示例,该示例标识了两个地址:hxxp [ : ] // 79 [ 。 ] 124 [ 。 ] 8 [ 。 ] 24 / bins / 和 hxxp [ : ] // 78 [ 。 ] 142 [ 。 ] 18 [ 。 ] 20(标识为命令和控制(C&C)服务器)。诸如 Mirai 之类的 IoT 恶意软件的一种常见模式是,找到一个域中托管的具有不同扩展名的不同文件,这些扩展名旨在攻击不同的体系结构。检查主机后,我们发现以下文件:

表 1. C&C 中托管的文件

进一步查看 IP 地址,我们了解到自 6 月以来,它已被用于部署 IoT 恶意软件,包括其他 Mirai 变体。

该SORA文件名先前已经被确定为未来变体可用于暴力攻击和其他安全漏洞的 RCE 攻击和非法控制管理设备。同时,fetch.sh 是具有以下内容的 shell 脚本:

图 2. fetch.sh shell 脚本

fetch.sh 连接到 http [ : ] // 79 [ 。 ] 124 [ 。 ] 8 [ 。 ] 24 / bins / sora。{architecture},以下载并执行名为 " sysctl" 的恶意二进制文件。同时,fetch.sh 还创建 cron 作业以启用下载二进制文件自动执行。

图 3. 创建 cron 作业

该脚本使用 iptables 工具将所有数据包发送到常用的传输控制协议(TCP)端口,例如 Telnet,Secure Shell(SSH)和设备 Web 面板(HTTP)的默认端口。这可能有两个不同的含义:

·没有其他恶意软件可以直接访问受感染设备中的公开服务

·设备所有者将无法访问管理界面

这也让人联想到我们最近的研究论文中所引用的对当前连接的物联网设备进行控制的含义。

https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/caught-in-the-crossfire-defending-devices-from-battling-botnets

通过分析该僵尸网络的 x86 示例,我们了解到它尝试利用存在漏洞的 BIG-IP 设备,因为它向受害端口 443 / TCP(HTTPS)发送 GET 请求:

图 4. GET 请求利用 CVE-2020-5902

考虑到漏洞的严重性,如果 ID 路径正确地添加到带有受感染设备的 tmshCmd.jsp 中的 " 命令 " 参数,则简单的 GET 请求就足以在受感染设备中远程执行命令。

在进一步分析样本后,我们还发现它试图利用随机生成的目标中最近发现的漏洞。这是此样本使用的漏洞利用的完整列表:

表 2. 其他漏洞利用

F5 已经发布了补丁程序,尽管默认设置不会向公众公开管理界面,但我们的 Shodan 扫描显示大约有 7,000 个公开的主机在线。

https://support.f5.com/csp/article/K52145254

请在此处查看 IoC 的完整列表:

https://documents.trendmicro.com/assets/IoCs_Appendix_Mirai-Botnet-Exploit-Weaponized-to-Attack-IoT-Devices-via-CVE-2020-5902.pdf


  • 上一篇:没有了