[[439062]]

最近海康威視又一次因自身的漏洞被黑客利用而遭受攻擊。攻擊者可以利用這個(gè)漏洞在web服務(wù)器上發(fā)送一些帶有惡意命令的消息，從而發(fā)起命令注入攻擊。

9 月 18 日，研究人員就披露了?？低暤母鞣N產(chǎn)品被有關(guān)遠(yuǎn)程代碼執(zhí)行漏洞攻擊。當(dāng)時(shí)?？低暡糠之a(chǎn)品中的web模塊存在一個(gè)命令注入漏洞，由于對(duì)輸入?yún)?shù)校驗(yàn)不充分，攻擊者可以發(fā)送帶有惡意命令的報(bào)文到受影響設(shè)備，成功利用此漏洞可以導(dǎo)致命令執(zhí)行，該漏洞很快被命名為 CVE-2021-36260，并在研究人員披露的同一天發(fā)布了針對(duì)該漏洞的補(bǔ)丁。不久之后，F(xiàn)ortiGuard Labs 開發(fā)了一個(gè) IPS 簽名來(lái)解決這個(gè)問(wèn)題。

在分析過(guò)程中，我們觀察到大量有效載荷試圖利用此漏洞來(lái)探測(cè)設(shè)備狀態(tài)或從受害者那里提取敏感數(shù)據(jù)。特別是一種有效載荷引起了我們的注意。它試圖刪除一個(gè)表現(xiàn)出感染行為并執(zhí)行 Moobot 的下載程序，Moobot是一基于Mirai開發(fā)的僵尸網(wǎng)絡(luò)家族，自從其出現(xiàn)就一直很活躍，并且擁有零日漏洞利用的能力。

我們會(huì)在本文詳細(xì)介紹攻擊者如何通過(guò)該漏洞傳播此有效載荷。

漏洞的開發(fā)和傳播

CVE-2021-36260 源于輸入驗(yàn)證不足，允許未經(jīng)身份驗(yàn)證的用戶將惡意內(nèi)容注入。

利用 CVE-2021-36260 的流量

我們收集了許多利用此漏洞的有效載荷，并最終找到了一個(gè)下載程序。跟蹤流量捕獲后，完整的載荷如下圖所示：

[[439063]]

來(lái)自 CVE-2021-36260 的有效載荷

首先，因?yàn)樽罱K的 Moobot 將被保存為“macHelper”，它首先嘗試刪除任何已經(jīng)命名為“macHelper”的文件。然后它將代碼回傳給“downloader”，這是一個(gè)很小的ELF 32位LSB ARM文件。下載程序完成下載后，執(zhí)行參數(shù)為“hikivision”的Moobot。最后，它會(huì)更改常用命令，例如“重啟”，以防止管理員在受影響的設(shè)備上調(diào)用重啟。

下載程序

攻擊者利用該漏洞釋放下載程序(SHA256：1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F)。它的任務(wù)就一個(gè)——下載僵尸網(wǎng)絡(luò)。它使用“/arm5”URI 表單服務(wù)器 199.195.250[.]233:80 下載惡意軟件，如果下載過(guò)程成功，則打印“RAY”。反匯編代碼如下圖所示：

下載程序

通過(guò) IP 地址，我們不僅可以獲取不同架構(gòu)的 moobot 變體，還可以從目錄“/h/”中獲取歷史上出現(xiàn)的惡意軟件。

來(lái)自下載程序 IP 的示例列表

Moobot被攻擊者利用

根據(jù)我們的分析，上一階段下載的惡意軟件(SHA256：38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557)是基于Mirai的Moobot。它最明顯的特點(diǎn)是包含數(shù)據(jù)串“w5q6he3dbrsgmclkiu4to18npavj702f”，被用于“rand_alphastr”函數(shù)。它用于創(chuàng)建具有不同目的的隨機(jī)字母數(shù)字字符串，例如用于設(shè)置進(jìn)程名稱或生成用于攻擊的數(shù)據(jù)。

Moobot 的字母數(shù)字字符串函數(shù)

它還有一些來(lái)自 Satori 的元素，這是另一個(gè) Mirai 變體僵尸網(wǎng)絡(luò)。它包含一個(gè)針對(duì)受害者物聯(lián)網(wǎng)設(shè)備的“下載程序”，并在執(zhí)行后打印“9xsspnvgc8aj5pi7m28p”字符串。該變體還使用進(jìn)程名稱“/usr/sbin*”自我分散，以便在刪除原始文件“macHelper”時(shí)看起來(lái)像一個(gè)正常的進(jìn)程。Satori僵尸網(wǎng)絡(luò)的創(chuàng)建者是一位名為“Nexus Zeta”的黑客，該僵尸網(wǎng)絡(luò)是2016年10月在線發(fā)布的Mirai物聯(lián)網(wǎng)惡意軟件的一個(gè)新變體。該僵尸網(wǎng)絡(luò)迅速擴(kuò)張的能力絲毫不亞于Mirai僵尸網(wǎng)絡(luò)，短短12個(gè)小時(shí)內(nèi)就成功激活了超過(guò)28萬(wàn)個(gè)不同的IP，影響了數(shù)十萬(wàn)臺(tái)路由器設(shè)備。

Moobot 的代碼片段

由于它是基于Mirai，僵尸網(wǎng)絡(luò)也包含一個(gè)數(shù)據(jù)部分來(lái)存儲(chǔ)其配置。明文配置可以在與 0x22 異或后解碼：

包含配置的解碼數(shù)據(jù)

從配置中獲取 C2 服務(wù)器 (life.zerobytes[.]cc) 后，它開始發(fā)送heartbeat (\x00\x00) 數(shù)據(jù)包，然后等待來(lái)自 C2 服務(wù)器的下一個(gè)控制命令。一旦受害系統(tǒng)收到命令，它就會(huì)對(duì)特定的 IP 地址和端口號(hào)發(fā)起 DDoS 攻擊。 DDoS 攻擊流量的一個(gè)示例如下所示：

Syn-Flood

Syn-Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷，通過(guò)向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問(wèn)。

DDoS 攻擊命令為 24 字節(jié)，，詳細(xì)信息如下圖所示，其中包括Flood攻擊方法和目標(biāo) IP/端口。除了SYN Flood，C2服務(wù)器還有其他攻擊命令，比如UDP Flood 0x06，ACK Flood 0x04，ACK+PUSH Flood 0x05。

命令

從嘗試感染海康威視產(chǎn)品到部署Moobot的完整攻擊場(chǎng)景下圖所示：

攻擊場(chǎng)景

我們還注意到在下圖中一個(gè)基于設(shè)備的數(shù)據(jù)包捕獲的DDoS服務(wù)提供商，經(jīng)過(guò)追蹤分析，這是一個(gè)名為“tianrian”的telegram頻道，該頻道提供 DDoS 服務(wù)。如下圖所示，他們?cè)诘卿浗缑嬷惺褂锰囟ㄗ址?ldquo;openmeokbye”。該頻道創(chuàng)建于 2021 年 6 月 11 日，并于 8 月開始提供服務(wù)。從聊天頻道我們可以看到服務(wù)還在更新中。用戶應(yīng)該始終注意DDoS攻擊，并對(duì)易受攻擊的設(shè)備應(yīng)用補(bǔ)丁。

從受感染設(shè)備捕獲的流量

telegram頻道

總結(jié)

海康威視是全球最大的安防產(chǎn)品及視頻處理技術(shù)和視頻分析技術(shù)供應(yīng)商之一。 CVE-2021-36260 是一個(gè)嚴(yán)重漏洞，它使?？低暜a(chǎn)品成為 Moobot 的目標(biāo)。

本文翻譯自：

https://www.fortinet.com/blog/threat-research/mirai-based-botnet-moobot-targets-hikvision-vulnerability