[[395428]]

2019年P(guān)alo Alto Networks的威脅情報(bào)小組Unit 42就發(fā)現(xiàn)惡意軟件Mirai有了新的攻擊型態(tài)，該惡意軟件主要以各種嵌入式、物聯(lián)網(wǎng)裝置的軟件漏洞為目標(biāo)，以分布式阻斷服務(wù)攻擊(DDoS)和其自我復(fù)制方式為主，從2016年起成功入侵?jǐn)?shù)個(gè)值得注意的目標(biāo)。這些被鎖定的物聯(lián)網(wǎng)裝置包括無線投影系統(tǒng)、機(jī)頂盒、SD-WAN甚至智能家居遙控器。Mirai是一款惡意軟件，它可以使執(zhí)行Linux的計(jì)算系統(tǒng)成為被遠(yuǎn)程操控的僵尸網(wǎng)絡(luò)，以達(dá)到通過殭尸網(wǎng)絡(luò)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊的目的。Mirai的主要感染對(duì)象是可存取網(wǎng)絡(luò)的消費(fèi)級(jí)電子裝置，例如網(wǎng)絡(luò)監(jiān)控?cái)z錄像機(jī)和家庭路由器等。

最近，Palo Alto Networks正在積極嘗試保護(hù)其客戶免受可能的攻擊，通過利用其下一代防火墻作為外圍傳感器來檢測(cè)惡意有效載荷和攻擊方式，這樣Unit 42研究人員能夠找出網(wǎng)絡(luò)上存在的威脅，不管它們是否被發(fā)現(xiàn)。

Unit 42研究人員對(duì)最近發(fā)現(xiàn)的利用命令注入漏洞的兩個(gè)攻擊活動(dòng)中的四種Mirai變種進(jìn)行了仔細(xì)研究，發(fā)現(xiàn)了一種熟悉的物聯(lián)網(wǎng)攻擊模式。如上所述，2019年Unit 42就發(fā)現(xiàn)惡意軟件Mirai有八種新的迭代形式。

盡管這種通用方法允許研究人員觀察整個(gè)攻擊活動(dòng)鏈，甚至從攻擊中獲取惡意軟件二進(jìn)制文件，但這種后開發(fā)(post-exploitation)攻擊式確實(shí)留有其攻擊痕跡：流量指紋識(shí)別。相似的服務(wù)會(huì)產(chǎn)生相似的流量模式，這是由于相似的代碼庫(kù)和基礎(chǔ)實(shí)現(xiàn)(如果不相同)。由于一項(xiàng)服務(wù)可以存在于具有不同配置的多個(gè)設(shè)備中，并且一個(gè)特定的設(shè)備有多個(gè)品牌，因此實(shí)時(shí)識(shí)別敏感設(shè)備變得非常困難。

本文簡(jiǎn)要分析了野外觀察到的兩種物聯(lián)網(wǎng)漏洞以及攻擊期間提供的四種Mirai變體，Palo Alto Networks的下一代防火墻客戶可以免受這些攻擊。

利用有效載荷包括Mirai變體

Unit 42最近發(fā)現(xiàn)了總共四個(gè)Mirai變體，這些變體利用兩個(gè)新漏洞作為攻擊媒介來傳播Mirai。成功利用后，將調(diào)用wget實(shí)用程序從惡意軟件基礎(chǔ)結(jié)構(gòu)中下載Shell腳本。然后，shell腳本會(huì)下載為不同架構(gòu)編譯的多個(gè)Mirai二進(jìn)制文件，并一一執(zhí)行這些下載的二進(jìn)制文件。

如圖1所示，第一個(gè)漏洞利用了具有NTP服務(wù)器設(shè)置功能的Web服務(wù)中的命令注入漏洞。該服務(wù)無法清除HTTP參數(shù)NTP_SERVER的值，從而導(dǎo)致任意命令執(zhí)行。

命令注入漏洞

根據(jù)從攻擊流量中獲得的線索，我們將范圍縮小到了一些已知可通過HTTP同步時(shí)間的IoT設(shè)備，并在某些IoT設(shè)備的固件中找到了幾個(gè)易受攻擊的NTP服務(wù)器處理例程，這令人擔(dān)憂，因?yàn)槟承┕?yīng)商沒有不再支持運(yùn)行上述固件的產(chǎn)品。圖2顯示了一個(gè)在庫(kù)模塊中發(fā)現(xiàn)的此類易受攻擊的函數(shù)，盡管我們分析的固件具有這種不安全的功能，但幸運(yùn)的是，由于這些固件中不存在目標(biāo)統(tǒng)一資源標(biāo)識(shí)符(URI)，因此它們不受此特定攻擊的影響。在我們繼續(xù)分析可能通過HTTP進(jìn)行時(shí)間同步的其他IoT設(shè)備時(shí)，仍在識(shí)別受影響的產(chǎn)品。

固件中的易受攻擊的代碼片段

第一個(gè)漏洞的最初攻擊事件發(fā)生在2020年7月23日UTC上午05:55:06。這次攻擊(如圖1所示)持續(xù)了幾周，最后一次報(bào)告是在2020年9月23日下午15點(diǎn)21分23分(UTC)。在撰寫本文時(shí)，共有42個(gè)獨(dú)特的警報(bào)。

在野外捕獲的第二個(gè)利用比第一個(gè)利用提供的上下文更少，URL和HTTP請(qǐng)求頭不會(huì)產(chǎn)生任何有用的信息。顯然，HTTP參數(shù)pid中缺少參數(shù)清理，這導(dǎo)致了命令注入漏洞，如圖3所示。我們推測(cè)目標(biāo)服務(wù)是某種類型的遠(yuǎn)程進(jìn)程管理工具，因?yàn)樵诠袅髁恐杏蓄愃频膮?shù)模式，并且它可能是實(shí)驗(yàn)性的，因此使用率很低。

通過網(wǎng)絡(luò)進(jìn)行命令注入利用

在短短12秒內(nèi)，總共發(fā)生了48次獨(dú)特的攻擊事件。這次攻擊開始于2020年8月16日上午09:04:39 (UTC)，結(jié)束于2020年8月16日上午09:04:51 (UTC)，這表明這種攻擊是快速且短暫的。

我們將Mirai變體按數(shù)字分組：1、2、3和4。每個(gè)Mirai變體的SHA256可在下面的“攻擊指標(biāo)”部分中找到。表1列出了每種變體的攻擊方法以及嵌入式解密密鑰。

傳播方式和解密密鑰

盡管這些變體沒有完全相同的來源和配置，但它們都具有發(fā)起DDoS攻擊所需的功能。變體4還具有其他三個(gè)變體所沒有的感染能力，這使其成為更危險(xiǎn)的威脅。下表2總結(jié)了此特定Mirai變體用于感染其他易受攻擊主機(jī)的利用。就像其前面的樣本一樣，此變體繼承了以前的變體中也使用過的漏洞利用程序。

變體4的感染功能

總結(jié)

物聯(lián)網(wǎng)設(shè)備的安全性仍然令人擔(dān)憂，物聯(lián)網(wǎng)安全性的一大挑戰(zhàn)是，不再受支持的物聯(lián)網(wǎng)設(shè)備仍在部署和使用中。不幸的是，固件中的漏洞不僅會(huì)隨著固件產(chǎn)品的消失而消失。

本文翻譯自：https://unit42.paloaltonetworks.com/iot-vulnerabilities-mirai-payloads/如若轉(zhuǎn)載，請(qǐng)注明原文地址。