兩起殭屍網絡Mirai樣本分析
2019年6月26日蜜罐系統監控到兩起Mirai的物聯網蠕蟲活動情況,自2017年11月23日Check Point研究人員發現華爲家用路由器HG532存在0day漏洞(CVE-2017-17215),可以遠程執行任意代碼,Mirai蠕蟲病毒就利用該漏洞進行大肆傳播,本文會結合蜜罐捕獲的攻擊證據對該蠕蟲進行技術分析,重點分析該蠕蟲是如何利用該漏洞進行傳播的。整個攻擊流程如下:
一、樣本介紹
兩起樣本基本信息,樣本一的信息如下:
樣本 | MD5 | 內容 |
---|---|---|
ssh.sh | aa82ebdab1ca5db01e8392456a66d173 | 該腳本下載蠕蟲病毒 |
kowai.arm5 | 54206703b7da43eb31103d2260804ffa | arm平臺蠕蟲病毒 |
kowai.arm6 | 417c52650feb2bce70966c0b6a29e9f9 | arm平臺蠕蟲病毒 |
kowai.arm7 | 6a688f8018f1c5aa5d2b762ce45d5f08 | arm平臺蠕蟲病毒 |
kowai.m68k | aefed58737b6780078d5b8d9b95a4a6e | m68k平臺蠕蟲病毒 |
kowai.mips | 4c7d72110b21c4d96e1a5dd1dd3d8162 | mips平臺蠕蟲病毒 |
kowai.mpsl | 50caf859e336928cb03867b6a1fb307d | mpsl平臺蠕蟲病毒 |
kowai.ppc | 1b3313b9d2732695a54f922d617919b8 | mpsl平臺蠕蟲病毒 |
kowai.sh4 | 0b51a869b580af0105583786edcf9d5a | sh4平臺蠕蟲病毒 |
kowai.x86 | 289f45cfb35f880e2a57638019376997 | x86平臺蠕蟲病毒 |
樣本二的信息如下:
樣本 | MD5 | 內容 |
---|---|---|
sh | a7efb85b73dcebb71fe3013123e5d348 | 該腳本下載挖礦程序包 |
maui.arm | 167615d6c36a8ddecd80835b8f9d0cc0 | arm平臺蠕蟲病毒 |
maui.arm5 | b5b0473bc3eaf74bffd851537f516adb | arm平臺蠕蟲病毒 |
maui.arm6 | 43ed80863580144352b5d7e184806313 | arm平臺蠕蟲病毒 |
maui.i586 | ca8c67fa2735246346def750de08bc0f | i586平臺蠕蟲病毒 |
maui.mips | 8a3eb31a6d87c368e3858d6ab032fa5d | mips平臺蠕蟲病毒 |
maui.mpsl | 474dad25f577df9e8c20a6a9b5ac288f | mpsl平臺蠕蟲病毒 |
二、詳細分析
捕獲到兩個腳本, http://host.minekraft.club/bins/sh 腳本如下,主要作用是下載arm、i586、mips、mpsl各種IoT平臺的Mirai蠕蟲。
http://147.135.116.65/ssh.sh 對應的腳本如下,主要作用是下載arm、x86、i586、mips、mpsl、ppc各種IoT平臺的Mirai蠕蟲,並僞裝SSH進行運行。
攻擊服務器包含了很多相關的文件,各個操作系統平臺上的,不同版本的蠕蟲文件。
該蠕蟲病毒的工作原理非常簡單,主要意圖是僞造UDP和TCP對目標發起泛洪攻擊,在此,選取其中的一個蠕蟲樣本kowai.arm5進行分析,通過IDA逆向分析發現,該樣本在傳播和攻擊過程中用了3個PayLoad,丟失正對路由器進行攻擊,下面相關的POC:
華爲 HG532系列路由器遠程命令執行漏洞(CVE-2017-17215),該漏洞對應的端口號是52869,對應的POC:
漏洞分析:
使用了一個古老的漏洞(CVE-2014-8361),該漏洞針對的是Realtek SDK中的UPnP服務(52869端口)。由於該漏洞暴露的時間比較舊,下圖是樣本中的POC。
該樣本依然保留着弱口令爆破,向隨機地址的23端口發送telnet數據包,嘗試進行弱密碼爆破。
ScanMon平臺顯示端口23的掃描流量排名第一,遠超22端口。
發現攻擊源佔據前幾位的都來自美國。
此外,該樣本會隨機的掃描端口37215和52869,下面是通過wireshark抓包的流量中提取的掃描信息。
查看whois信息,在ipip.net顯示該攻擊來自美國弗吉尼亞州阿什本。
三、相關 IOC
MD5
aa82ebdab1ca5db01e8392456a66d173 54206703b7da43eb31103d2260804ffa 417c52650feb2bce70966c0b6a29e9f9 6a688f8018f1c5aa5d2b762ce45d5f08 aefed58737b6780078d5b8d9b95a4a6e 4c7d72110b21c4d96e1a5dd1dd3d8162 50caf859e336928cb03867b6a1fb307d 1b3313b9d2732695a54f922d617919b8 0b51a869b580af0105583786edcf9d5a 289f45cfb35f880e2a57638019376997 a7efb85b73dcebb71fe3013123e5d348 167615d6c36a8ddecd80835b8f9d0cc0 b5b0473bc3eaf74bffd851537f516adb 43ed80863580144352b5d7e184806313 ca8c67fa2735246346def750de08bc0f 8a3eb31a6d87c368e3858d6ab032fa5d 474dad25f577df9e8c20a6a9b5ac288f
C2
147.135.116.65:80
URL
http://147.135.116.65/bins/kowai.x86
http://147.135.116.65/bins/kowai.mips
http://147.135.116.65/bins/kowai.mpsl
http://147.135.116.65/bins/kowai.arm4
http://147.135.116.65/bins/kowai.arm5
http://147.135.116.65/bins/kowai.arm6
http://147.135.116.65/bins/kowai.arm7
http://147.135.116.65/bins/kowai.ppc
http://147.135.116.65/bins/kowai.m68k
http://147.135.116.65/bins/kowai.sh4
http://host.minekraft.club/bins/sh
http://host.minekraft.club/bins/maui.arm
http://host.minekraft.club/bins/maui.arm5
http://host.minekraft.club/bins/maui.arm6
http://host.minekraft.club/bins/maui.i586
http://host.minekraft.club/bins/maui.mips
http://host.minekraft.club/bins/maui.mpsl
*本文原創作者:Sampson,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載