JenX:可利用伺服器漏洞的一種新IoT殭屍網路
簡介
一個新的IoT殭屍網路正在發展中,該殭屍網路用託管伺服器來尋找和感染有CVE-2014-8631和CVE-2017-17215漏洞的設備。
CVE-2014-8361 「Realtek SDK Miniigd UPnP SOAP Command Execution」 漏洞;CVE-2017–17215 「華為路由器 HG532 任意命令執行」 漏洞。
這兩個利用漏洞同時被Satori殭屍網路所利用,而且都是基於BrickerBot的作者Janit0r的代碼。惡意軟體使用了與PureMasuta同樣的技術,源碼公布在一個暗網論壇。
經過調查,研究人員發現http://sancalvicie.com提供DDoS服務。下圖是提供的服務的詳細描述:
就在研究人員撰寫本文時,訪問該網站發現,僅僅過了幾個小時,他們提供的DDoS服務就升級了!!!
注意:新的殭屍網路和增加的DDoS流量為290~300Gbps,他們一定對這個僅僅應用兩天的殭屍網路充滿信心。
漏洞利用
1月30日,研究人員部署IoT蜜罐發現多個位於歐洲的伺服器的漏洞利用嘗試。這些利用基於CVE-2014-8361通過URL /picsdesc.xml發送到埠52869的3個獨立SOAP post來執行RCE。
SOAP, Simple Object Access Protocol簡單對象訪問協議,是一種簡單的基於 XML 的協議,它使應用程序通過 HTTP 來交換信息。
基於CVE-2017–17215的漏洞利用通過埠37215發送到/ctrlt/DeviceUpgrade_1的POST和不同的命令序列來下載和執行惡意軟體,這是第一個殺掉設備中的其他競爭殭屍的嘗試。
該惡意軟體的二進位文件叫做『jennifer』,是從伺服器5.39.22.8下載的,該伺服器是ISP與漏洞利用伺服器的ISP不同。
下載伺服器中含有MIPS, ARM, x86的樣本,這些樣本都是最近才上傳的。
IOCs
與我們去年見到的這些IoT殭屍網路不同,該殭屍網路用伺服器來進行掃描和利用。近期發現的所有殭屍網路Mirai, Hajime, Persirai,Reaper, Satori和Masuta,使用的嗾使分散式掃描和利用。也就是說每個被惡意軟體感染的受害者都會自己搜尋新的受害者。分散式掃描能讓殭屍網路指數級的增長,但是會對惡意軟體本身的靈活性和複雜性會有影響。反之,中心化的掃描和利用就更加靈活,可以隨意增加新的功能。掃描和利用功能還可以用Python、Go等高級語言編寫,因為可以利用很多已有的模塊和庫。識別出惡意軟體所用的庫,安全研究人員就可以對其逆向,並找出惡意軟體利用的漏洞和技術。
惡意軟體
執行的時候,Jennifer二進位文件會fork3個進程,並向終端寫入下面的信息,隨後退出。
這3個fork的進程的名字都是混淆過的,這種混淆的方法與Mirai類似。惡意軟體同時使用了反調試檢測技術來避免被debugeer追蹤。所有的進程在監聽localhost的埠,一個會在埠127打開TCP socket連接位於80.82.70.202的C&C伺服器。該TCP會話在進程存在時會一直保持。
二進位文件中被混淆的字元串:
列印在終端上的消息「gosh that chinese family at the other table sure ate a lot」 是來自作者的一個禮物。該字元串有58個字元,這也是找出混淆演算法和密鑰的開始點。從二進位文件逆向的C語言偽代碼中,很容易定位58個字元長的目標字元串。
用Python進行一些基本的加密分析,發現混淆演算法就是一個簡單的XOR異或演算法,使用的固定密鑰是0x45:
對混淆後的字元串再用0x45進行一次XOR異或計算就找出了明文:
還有一個問題就是如何從IP地址為80.82.70.202的C2伺服器獲取主機名hostname。逆向的域名也沒有什麼發現.從逆向的偽代碼中可以找到含有主機名hostname的字元串:
通 1過暴力破解找到了XOR運算的key 0x22,這和PureMasuta中混淆用戶名和密碼的key是一樣的。
最後,研究人員發現了C2伺服器的hostname是 『http://skids.sancalvicie.com』。
驗證主機名:
該域名是一個叫做Calvos S.L的組織註冊的。
C2協議
惡意軟體在執行時會用127埠上的TCP會話來與硬編碼的C2伺服器通信,C2伺服器的域名為http://skids.sancalvicie.com。惡意軟體會發送一個位元組序列,序列的開頭是0x00 0x00 0x00 0x01 0x07,之後的字元串會作為參數在命令行執行。對於Realtek漏洞利用,該參數就是Realtek。發送了初始序列後,殭屍主機和C2伺服器會發送一個兩個空位元組的payload的包來保持會話。
上圖是殭屍主機和C2伺服器之間的會話,紅色的是殭屍主機。
C2伺服器好像也會提供一個命令行介面,監聽的也是127埠。如果會話建立之後的初始位元組不是0x00,伺服器會響應一個登錄的彈出窗口:
屬性
逆向的代碼含有Valve Source Engine Query攻擊的payload,同樣的攻擊向量也存在於Mirai代碼中,這些代碼2016年10月是公開了。深入調查發現http://sancalvicie.com域名提供GTA San Andreas多層伺服器,並且提供反查詢洪泛保護。作為一項附加服務,該網站同時提供包含Valve Source Engine Query 洪泛攻擊在內的DDoS服務。
這讓我們相信該殭屍網路是San Calvicie黑客組織建立的。
總結
截止目前,兩個歐洲的提供商已經下線了位於他們數據中心的利用伺服器。研究人員確認仍有活動的伺服器,而且C2伺服器是活動的。基本上,殭屍網路還在運作,我們能做的只有影響他們的增長速度。
研究人員很有意思,給黑客發送消息說他們應該進行改進來隱藏自己。JneX可以很容易地隱藏自己,而且是中心化地掃描方式和利用圖譜。這些服務提供商並不在乎提供的服務會被濫用,甚至向Darknet提供主機服務。如果利用伺服器遷移到Darknet,追蹤這些伺服器的地址和將這些伺服器下線會變得更難。研究人員說BrickerBot就是使用這種技術的IoT殭屍網路。
本文翻譯自:https://blog.radware.com/security/2018/02/jenx-los-calvos-de-san-calvicie/如若轉載,請註明原文地址: http://www.4hou.com/info/news/10252.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※如何在世界上戒備最森嚴的地方竊取信息?NSA絕密文件泄漏過程曝光
※有意還是無意?一加手機正在收集用戶敏感數據
※英特爾發布安全檢測工具CHIPSEC,可檢測被CIA泄露的漏洞
※因筆記本電腦預裝廣告軟體問題,聯想支付350萬美元與FTC和解
TAG:信息安全 |