很多腳本小子正在使用武器化的物聯(lián)網(wǎng)漏洞利用腳本，利用供應(yīng)商后門帳戶攻擊中興路由器。具有諷刺意味的是，這不是腳本中唯一的后門。Scarface，代碼的傳播者也部署了自定義后門來黑那些使用該腳本的腳本小子。

由于IOT(Paras/Nexus/Wicked)中頂級開發(fā)者的名字不為人所知，Scarface/Faraday就是腳本小子購買物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)代碼以及武器化利用的開發(fā)者的總稱。雖然Scarface大多具有良好的可信度，但我們觀察到他發(fā)布了一個帶有后門的武器化中興ZXV10 H108L路由器漏洞利用，它在運行時會感染腳本小子的系統(tǒng)。

[[250180]]

該漏洞是已知漏洞，在中興路由器中使用后門帳戶進行登錄，然后在manager_dev_ping_t.gch中執(zhí)行命令注入。Scarface的代碼針對另一個不同端口8083上的設(shè)備(這就解釋了我們的NewSky蜜罐在端口8083而不是標準80/8080端口上看到此漏洞使用量激增)。然而，這不是唯一的區(qū)別。

在泄漏的代碼片段中，我們看到login_payload用于后門使用，而command_payload用于命令注入。但是，還有一個變量auth_payload，其中包含base64編碼的Scarface后門。

這個后門代碼是通過exec偷偷執(zhí)行的，與實際漏洞的三個步驟(使用供應(yīng)商后門、命令注入和注銷)分開執(zhí)行，如下圖所示：

解碼后的后門代碼連接到另一個網(wǎng)站，該網(wǎng)站的代碼連接到URL paste(.)eee并執(zhí)行后續(xù)代碼：

我們可以看到其添加了一組后門用戶憑據(jù)，然后通過清除日志和歷史記錄來刪除痕跡。通過wget連接到另一個URL ，因為它承載了一個meme視頻(這可能是Scarface擁有你設(shè)備的一個指示)。

黑掉IoT僵尸網(wǎng)絡(luò)運營商可以有很多用途。例如，控制腳本小子系統(tǒng)后，大魚Scarface也可以控制他們構(gòu)建的較小的僵尸網(wǎng)絡(luò)，或者可以簡單的訪問競爭對手的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)操作人員系統(tǒng)來進行個人競爭。