Satori殭屍網路事件分析：華為路由器0day漏洞（CVE-2017-17215）曝光

01-28

Check Point研究人員發現，華為家用路由器HG532存在0day漏洞（CVE-2017-17215），可以遠程執行任意代碼，並且已經有攻擊利用了該漏洞。payload是名為OKIRU/SATORI，是Mirai的升級版變種。攻擊發起者的昵稱為Nexus Zeta，後面會進行深入分析。

攻擊分析

11月23日，Check Point的研究人員發現蜜罐中有一些可疑的安全警告。經過調查發現了攻擊運行在37215埠，利用的了已經公布的華為家用路由器HG532 CVE-2017-17215漏洞。同樣的攻擊模式也出現在美國、義大利、德國、埃及等地的感測器中，所以這是由華為路由器組成的殭屍網路。

研究人員確認了漏洞後，就通報給華為，華為安全團隊非常給力，很快對該漏洞進行了響應和修復，並提供了補丁。

華為路由器組成的殭屍網路感染圖

CVE-2017-17215

華為網關應用了UPnP（通用即插即用）協議，通過TR-064及技術標準，UPnP被廣泛用於家用和企業用的嵌入式設備。TR-064用於本地網路配置，比如工程師可以進行基本的設備配置，固件升級等。但是，華為使用TR-064時，通過37215埠暴露給了互聯網。

從設備的UPnP描述來看，它支持DeviceUpgrade服務，這種服務是通過發送請求給/ctrlt/DeviceUpgrade_1來實現固件升級的，還通過NewStatusURL和NewDownloadURL兩個元素實現。

漏洞允許遠程管理員通過注入shell 元字元到NewStatusURL和NewDownloadURL中來執行難任意代碼。

攻擊向量

以上執行後，利用會返回一個默認的HUAWEIUPNP消息，這就模擬了一個upgrade過程。

殭屍網路命令注入

VirusTotal 對payload的檢測成功率

工作原理

Payload的功能非常簡單。殭屍主機的主要意圖是用偽造的UDP和TCP包對目標發起洪泛攻擊。攻擊開始後，殭屍主機會發起對硬編碼域名的DNS請求來解析C&C伺服器的IP地址。殭屍主機會從DNS響應從獲取IP地址，並嘗試用硬編碼的埠（例子中是7645）連接。

Mirai殭屍網路中，用0x07值以XOR的方式對DNS名和其他的字元串進行硬編碼。

Payload也含有非編碼的字元串，是從不會用的虛假C&C域名：

經過加密的和假的C&C域名

用於洪泛的包的數量和對應的從C&C伺服器傳輸的參數：

從C&C伺服器接受的數據

C&C伺服器可以傳遞用於攻擊的單個IP地址或者子網：

給定子網生成的隨機IP地址

在發送包後，殭屍主機並不會等待來自被攻擊主機的響應。

殭屍主機的二進位文件含有一些從沒有用過的、混淆過的、明文的文本字元串。這可能是從其他殭屍或之前的版本的殘留。

C&C流量

對於C&C通信，殭屍會使用自己的協議，有兩個硬編碼的請求用於檢查和認證：

硬編碼的C&C請求

C&C請求例子

C&C伺服器響應含有DDOS攻擊的參數，如果響應消息的前兩個位元組是0000或0107，那麼之後的數據就是攻擊數據，DDOS攻擊功能也就發起了。如果位元組不對應，那麼就不會有DDOS攻擊行為。

C&C響應例子

IoC

攻擊伺服器和Dropzones

93.97.219n211.123.69n7.59.177n106.110.90nnexusiotsolutions.net.nnexuszeta1337@gmail.comn

Payloads

7a38ee6ee15bd89d50161b3061b763ea mipsnf8130e86dc0fcdbcfa0d3b2425d3fcbf okiru.x86nfd2bd0bf25fc306cc391bdcde1fcaeda okiru.armn

攻擊者分析

我們分析這款新的惡意軟體的同時，引出了許多關於攻擊發起者身份的問題。因為流量巨大，未知的0day漏洞和多個攻擊伺服器，所以很難判斷攻擊者的身份，最初懷疑是背後有國家勢力支持或者是一些臭名昭著的黑客組織。

慢慢地，我們發現了註冊殭屍網站C&C域名（http://nexusiotsolutions.net）的郵箱地址nexuszeta1337@gmail.com和昵稱「Nexus Zeta」。搜索Nexus Zeta1337我們發現HackForums有一名昵稱為Nexus Zeta的註冊成員。根據發帖內容可以判斷，他的最初的目的是建立一個類似Mirai的IOT殭屍網路。

下圖分別是Nexus Zeta在hackforums的發帖、twitter帳號和github主頁，從中可以得出結論，Nexus Zeta應該只是一個極客，針對華為路由器0day漏洞利用的攻擊活動也只是個人興趣，並沒有政府組織和其他大規模黑客組織的參與。

參考文獻

https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-1016.html

http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en

https://research.checkpoint.com/good-zero-day-skiddie/

如若轉載，請註明原文地址： http://www.4hou.com/technology/9445.html 更多內容請關注「嘶吼專業版」——Pro4hou