標籤:

Satori殭屍網路事件分析:華為路由器0day漏洞(CVE-2017-17215)曝光

Check Point研究人員發現,華為家用路由器HG532存在0day漏洞(CVE-2017-17215),可以遠程執行任意代碼,並且已經有攻擊利用了該漏洞。payload是名為OKIRU/SATORI,是Mirai的升級版變種。攻擊發起者的昵稱為Nexus Zeta,後面會進行深入分析。

攻擊分析

11月23日,Check Point的研究人員發現蜜罐中有一些可疑的安全警告。經過調查發現了攻擊運行在37215埠,利用的了已經公布的華為家用路由器HG532 CVE-2017-17215漏洞。同樣的攻擊模式也出現在美國、義大利、德國、埃及等地的感測器中,所以這是由華為路由器組成的殭屍網路。

研究人員確認了漏洞後,就通報給華為,華為安全團隊非常給力,很快對該漏洞進行了響應和修復,並提供了補丁。

華為路由器組成的殭屍網路感染圖

CVE-2017-17215

華為網關應用了UPnP(通用即插即用)協議,通過TR-064及技術標準,UPnP被廣泛用於家用和企業用的嵌入式設備。TR-064用於本地網路配置,比如工程師可以進行基本的設備配置,固件升級等。但是,華為使用TR-064時,通過37215埠暴露給了互聯網。

從設備的UPnP描述來看,它支持DeviceUpgrade服務,這種服務是通過發送請求給/ctrlt/DeviceUpgrade_1來實現固件升級的,還通過NewStatusURL和NewDownloadURL兩個元素實現。

漏洞允許遠程管理員通過注入shell 元字元到NewStatusURL和NewDownloadURL中來執行難任意代碼。

攻擊向量

以上執行後,利用會返回一個默認的HUAWEIUPNP消息,這就模擬了一個upgrade過程。

殭屍網路命令注入

VirusTotal 對payload的檢測成功率

工作原理

Payload的功能非常簡單。殭屍主機的主要意圖是用偽造的UDP和TCP包對目標發起洪泛攻擊。攻擊開始後,殭屍主機會發起對硬編碼域名的DNS請求來解析C&C伺服器的IP地址。殭屍主機會從DNS響應從獲取IP地址,並嘗試用硬編碼的埠(例子中是7645)連接。

Mirai殭屍網路中,用0x07值以XOR的方式對DNS名和其他的字元串進行硬編碼。

Payload也含有非編碼的字元串,是從不會用的虛假C&C域名:

經過加密的和假的C&C域名

用於洪泛的包的數量和對應的從C&C伺服器傳輸的參數:

從C&C伺服器接受的數據

C&C伺服器可以傳遞用於攻擊的單個IP地址或者子網:

給定子網生成的隨機IP地址

在發送包後,殭屍主機並不會等待來自被攻擊主機的響應。

殭屍主機的二進位文件含有一些從沒有用過的、混淆過的、明文的文本字元串。這可能是從其他殭屍或之前的版本的殘留。

C&C流量

對於C&C通信,殭屍會使用自己的協議,有兩個硬編碼的請求用於檢查和認證:

硬編碼的C&C請求

C&C請求例子

C&C伺服器響應含有DDOS攻擊的參數,如果響應消息的前兩個位元組是0000或0107,那麼之後的數據就是攻擊數據,DDOS攻擊功能也就發起了。如果位元組不對應,那麼就不會有DDOS攻擊行為。

C&C響應例子

IoC

攻擊伺服器和Dropzones

93.97.219n211.123.69n7.59.177n106.110.90nnexusiotsolutions.net.nnexuszeta1337@gmail.comn

Payloads

7a38ee6ee15bd89d50161b3061b763ea mipsnf8130e86dc0fcdbcfa0d3b2425d3fcbf okiru.x86nfd2bd0bf25fc306cc391bdcde1fcaeda okiru.armn

攻擊者分析

我們分析這款新的惡意軟體的同時,引出了許多關於攻擊發起者身份的問題。因為流量巨大,未知的0day漏洞和多個攻擊伺服器,所以很難判斷攻擊者的身份,最初懷疑是背後有國家勢力支持或者是一些臭名昭著的黑客組織。

慢慢地,我們發現了註冊殭屍網站C&C域名(nexusiotsolutions.net)的郵箱地址nexuszeta1337@gmail.com和昵稱「Nexus Zeta」。搜索Nexus Zeta1337我們發現HackForums有一名昵稱為Nexus Zeta的註冊成員。根據發帖內容可以判斷,他的最初的目的是建立一個類似Mirai的IOT殭屍網路。

下圖分別是Nexus Zeta在hackforums的發帖、twitter帳號和github主頁,從中可以得出結論,Nexus Zeta應該只是一個極客,針對華為路由器0day漏洞利用的攻擊活動也只是個人興趣,並沒有政府組織和其他大規模黑客組織的參與。

參考文獻

checkpoint.com/defense/

huawei.com/en/psirt/sec

research.checkpoint.com

如若轉載,請註明原文地址: 4hou.com/technology/944 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Google:微軟優先給Windows 10修漏洞,讓舊版本系統用戶陷入危險之中
解密:全球超過400個知名網站正在記錄你的每一個擊鍵過程
「周二補丁日」,微軟修復影響Windows系統的48個安全漏洞
反取證、密碼學、逆向工程軟體…… 10大最好的網路安全Reddit都在這兒
維基解密又雙叒叕曝光了 CIA 針對 Mac 和 Linux 的 3 個黑客工具

TAG:信息安全 |