内容简介:NetCore漏洞的存在,使得攻击者可以通过此漏洞获取路由器Root权限,利用硬编码的后门口令访问该后门服务,并可执行任意命令以及上传、下载文件,获取WEB登录口令等操作,可完全控制受影响的产品。由于NetCore的路由器后门存在监听53413/UDP端口的情况,故可以从受影响设备的WAN端利用,即攻击者可从互联网上任何地方利用此漏洞。
阅读: 2
NetCore漏洞的存在,使得攻击者可以通过此漏洞获取路由器Root权限,利用硬编码的后门口令访问该后门服务,并可执行任意命令以及上传、下载文件,获取WEB登录口令等操作,可完全控制受影响的产品。由于NetCore的路由器后门存在监听53413/UDP端口的情况,故可以从受影响设备的WAN端利用,即攻击者可从互联网上任何地方利用此漏洞。
文章目录
Gafgyt病毒及NetCore漏洞分析
Gafgyt逐渐演变成一个庞大的家族,
样本支持X86-64/ARM/MIPS/PowerPC/Motorola68000/SPARC/SuperH 等多个不同平台,每个样本的上线(主控)IP也各不相同。以X86平台的变种为例(其它平台变种程序逻辑相同),首先看一下程序运行逻辑:
样本运行后,首先将自身进程改名,伪装成/usr/sbin/dropbear(类似SSH服务),这是 Linux 下木马惯用伎俩,目的是让TOP或PS命令所看到的进程路径和样本实际路径不同,运维人员可能较容易发现可疑进程,但找到样本 实际路径需要费点功夫,增加了手工查杀的难度。然后和主控端建立连接,连接后发送上线信息。并创建端口监听,接收并处理主控端发送的指令。
Gafgyt僵尸传播扩散行为分成三个阶段:扫描阶段、部署阶段及攻击阶段。具体如下图:
Gafgyt家族使用NetCore后门,中招主机的体现为先被扫描51413端口,随后会下载恶意软件并对其他机器进行51413端口探测,或者指定IP范围的22/23端口进行爆破,或者受控发动ddos攻击,攻陷的主机会有Gafgyt僵尸网络通信。
绿盟“Gafgyt+NetCore漏洞”规则解决方案
Gafgyt利用NetCore后门进行传播的活动从未缓解,该僵尸网络仍然在互联网络中肆无忌惮的传播。在国内很多使用磊科路由器的企事业单位中被频频发现。为了防止Gafgyt+NetCore漏洞利用成功,绿盟企业安全平台(NSFOCUS ESP)、绿盟安全态势感知(NSFOCUS TSA)和绿盟全流量威胁分析解决方案(NSFOCUS TAM)中已经添加了该事件的发现规则。
规则设置及事件类型描述
一般而言绿盟对这种“Gafgyt+NetCore漏洞”的网络攻击有着相关的规则流程分析,其将该网络攻击从利用和利用成功两个层面提供不同的解决方案。
当发生TELNET服务用户弱口令认证并在后续发生SYN-Flood半开、TCP连接淹没拒绝服务攻击、UDP-Flood淹没拒绝服务攻击、ACK-Flood拒绝服务攻击、HTTP GET-Flood淹没拒绝服务攻击、HTTP POST-Flood淹没拒绝服务攻击、NTP拒绝服务攻击等部分泛洪攻击事件,或者再次发生Netcore / Netis 路由器后门事件,即可确认Gafgyt+NetCore漏洞利用出现。此时,绿盟企业安全平台(NSFOCUS ESP)、绿盟安全态势感知(NSFOCUS TSA)和绿盟全流量威胁分析解决方案(NSFOCUS TAM)会提供对应的修复建议和工具。
当出现Gafgyt+NetCore漏洞被利用成功现象时,其规则流程如下:发现HTTP协议下载文件、TFTP服务客户端从服务器端获取文件、TELNET服务用户弱口令认证、TELNET服务暴力猜测用户口令、 SSH 服务暴力猜测用户口令、Netcore / Netis 路由器后门等情况并在后续发生针对其他IP大量的泛洪攻击事件时,即可确认Gafgyt+NetCore漏洞利用成功。随后,事件通过与NTI情报匹配,可追溯攻击源IP的IP黑名单、漏洞、域名、恶意样本等信息。
总结
通过对“Gafgyt+NetCore漏洞”的整体分析,我们发现,起源于国外的Gafgyt家族,经常会利用最新0day漏洞变异版本,使大量物联网设备感染木马。由于物联网设备基数大、高危漏洞多、防御措施少、监管措施不足,促使黑客对全球大量物联网设备进行了僵尸网络木马的大肆感染,使其沦为其控制下的“肉鸡”,默默做着没有报酬的“DDoS打手”或“矿工”。因此,不断提升自身的防御水平,维护网络安全发展是业界和企业不断追求的目标。
而绿盟企业安全平台(NSFOCUS ESP)、绿盟安全态势感知(NSFOCUS TSA)和绿盟全流量威胁分析解决方案(NSFOCUS TAM)可以通过事件规则有效发现失陷主机,另外也可以通过绿盟企业安全平台(NSFOCUS ESP)持续发现和管理安全漏洞,先一步阻止漏洞的再次利用。
更多安全平台事件规则解读,且听下回分解。
以上所述就是小编给大家介绍的《卷土重来的路由器漏洞Gafgyt NetCore》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 饱受折磨的家用路由器 | 在研究的127个家用路由器中,没有一个路由器幸免
- fl2440制作无线路由器
- 华为路由器BGP邻居详解
- 路由器里的广告秘密
- 自己动手DIY:编译路由器固件
- 小米路由器 3G 刷机及固件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。