月兔网络编程学习
Mirai:不仅仅针对物联网
2018-12-2 月兔


简介



Bot开发人员从开发物联网(IoT)恶意软件中吸取了教训,并将重点转向商用Linux服务器。与许多物联网设备一样,互联网上也存在大量未修补漏洞的Linux服务器,攻击者向可以找到的每个存在漏洞的服务器发起攻击,并大规模滥用。ASERT在自己的蜜罐网络中监控Hadoop YARN漏洞的利用,并发现了一个熟悉但令人惊讶的载荷 – Mirai。这些版本的Mirai与原版非常相像,但可以在Linux服务器上运行,而不是功能不足的物联网设备。虽然ASERT之前已经发布了Windows Mirai的观察报告,但这是我们第一次在野外看到非IoT Mirai。



要点



· 针对Linux服务器的Mirai开发者不再需要为奇怪的架构定制恶意软件,他们假定目标使用x86。



· 攻击者不是依靠bot进行传播,而是转向自己发布漏洞利用。少量攻击者正在使用自定义工具来利用Hadoop YARN漏洞并分发Linux恶意软件。



· 即使Hadoop YARN服务器没有运行telnet服务,Mirai bot也会尝试通过telnet暴力破解默认凭证。



· 数据中心的Linux服务器比家庭网络上的物联网设备的带宽更大,从而使它们成为效率更高的DDoS not。少数资源充足的Linux服务器会产生与大量物联网僵尸网络相匹敌的攻击。



细节



Hadoop YARN漏洞很简单,命令注入漏洞允许攻击者执行任意shell命令。上个月,Radware发现此漏洞被用于安装DemonBot DDoS僵尸程序。在很多方面,这个漏洞与我们在物联网设备中看到的其他漏洞类似。例如,CVE-2014-8361(Realtek的UPnP SOAP接口中的一个漏洞)也可以通过向特殊端口发送具有特定参数的HTTP请求来诱导shell命令的执行来利用。Realtek漏洞用于分发Mirai变体。



我们的全球蜜罐网络一直在跟踪Hadoop YARN漏洞利用的情况。如图1所示,每天有成千上万次的漏洞利用尝试。



1.png




图1:Hadoop YARN漏洞尝试次数



令人惊讶的是,如此多的漏洞利用尝试来自极少数的独特源IP。图2显示了在同一时间段内进行Hadoop YARN漏洞利用的唯一源IP地址的数量。



2.png




图2:唯一来源的数量



如果查看图3中利用这些漏洞的前5个User-Agent,我们可以看到攻击者使用Python请求库来发送HTTP载荷。



3.png




图3:排名前5的 User-Agent



我们看到的所有恶意软件有效载荷都没有以蠕虫方式传播使用Hadoop YARN漏洞,并且没有一个有效载荷是用Python编写,据此我们推测少数攻击者通过手动扫描互联网以利用此漏洞。



我们已经看到的漏洞利用有效载荷,如图4所示,所有功能都相同 – 从URL下载恶意软件二进制文件并执行。



4.jpg




图4:典型的漏洞利用



不同之处在于漏洞利用中分发的恶意软件。在11月份,我们已经看到了225个独特的二进制文件。其中152个,超过一半的二进制文件只由一个源地址提供。我们检查的样本中至少有十几个很明显是Mirai的变体。



5.png




图5:“VPNFilter” Mirai 变体



让我们关注一个自称为“VPNFilter”的Mirai变体(2bcca8ac8d4d80f6740ef14d521284c0,图5),尽管它与更高级的物联网bot无关。在我们的蜜罐网络中,看到这个漏洞11月16日来自两个源地址:185.244.25.241和104.248.170.199。此bot的命令和控制站点与托管二进制文件的IP地址相同。



这个特殊的变体与IoT Mirai的重要区别在于它只提供了x86版本的bit。 IoT Mirai变种将根据潜在受害者的实际情况来提供适合其CPU架构的可执行文件 –  x86,x64,ARM,MIPS,ARC等。此版本bot只针对在商用x86 Linux服务器上运行的Hadoop YARN服务。



在沙箱中运行“VPNFilter”变体时,我们立即注意到它仍然尝试通过telnet暴力重置出厂默认用户名和密码。如果成功找到易受攻击的设备,它不会直接在受害者上安装恶意软件,而是向服务器报告IP地址、用户名和密码,攻击者可以自动安装僵尸程序。



总结



Mirai不再仅仅针对物联网设备。虽然向物联网和Linux服务器分发Mirai的技术类似,但攻击单一x86 Linux服务器相比物联网设备更容易。我们看到数量有限的源地址不断扫描Hadoop YARN漏,可能表明此行动是一小群攻击者的工作。他们的目标很明确,就是将恶意软件安装在尽可能多的设备上。一旦获得立足点,在Linux服务器上的Mirai就像IoT机器人一样,开始使用telnet暴力破解用户名和密码。不同之处在于僵尸网络中的小型设备之中潜伏着功能齐全的Linux服务器。


发表评论:
昵称

邮件地址 (选填)

个人主页 (选填)

内容