​新Mirai Variant瞄准企业无线演示和显示系统

简介

2019年1月初，Unit 42发现了臭名昭著的IoT / Linux僵尸网络 Mirai 的一个新版本。

Mirai最出名的是在2016年，用于大规模、前所未有的DDoS攻击。一些最著名的目标包括：网络托管服务提供商 OVH ，DNS提供商 Dyn 和Brian Krebs的网站。

Unit 42发现的这一新变种值得注意的是它针对不同的嵌入式设备，如路由器、网络存储设备、NVR和IP摄像机，并使用大量漏洞攻击它们。

特别是，Unit 42发现了该变种针对WePresent WiPG-1000无线演示系统和LG Supersign电视。这两种设备都适用于企业。这一发展向我们表明了将Mirai用于企业目标的潜在转变。之前我们观察僵尸网络定位企业漏洞的实例是针对Apache Struts和SonicWall的漏洞利用。

除了这个更新的定位，这个新版本的Mirai还包括其多漏洞库中的新漏洞，以及用于对设备进行暴力破解攻击的新凭据。

最后，恶意有效载荷托管在哥伦比亚的一个受感染网站：主营“电子安全，集成和警报监控”业务。

这些新功能为僵尸网络提供了大型攻击面。特别是，定位企业链接还允许它访问更大的带宽，最终导致僵尸网络为DDoS攻击提供更大火力。

这些发展变化强调了企业了解网络上的物联网设备、更改默认密码、确保设备及时打补丁的重要性。对于无法修补的设备，要从网络中删除这些设备。

漏洞利用

这个最新的样本共包含27个漏洞，其中有11个是新漏洞。

我们观察到的漏洞的完整列表列在附录中。表1列出了在该样本之前未在野外观察到的攻击，表2列出了该变体中包括的仅在最近野外观察到的其他攻击，但在此之前的变体中被并入。

其它特征

除了包含不寻常的漏洞之外，这个新版本还具有其他一些不同的功能：

· 它使用与Mirai特征相同的加密方案，密钥为0xbeafdead。

·使用此密钥解密字符串，发现了一些我们迄今未遇到的暴力破解的异常默认凭据：

· admin:huigu309

· root:huigu309

· CRAFTSPERSON:ALC#FGU

· root:videoflow

·它使用域名epicrustserver [.] cf监听端口3933用于C2通信。

·除了扫描其他易受攻击的设备外，还可以命令新版本发送HTTP Flood DDos攻击。

基础设施

具有讽刺意味的是，此变体中漏洞利用获取的 shell 脚本有效载荷（在撰写本文时仍处于活动状态）托管在受感染的网站上，该网站属于哥伦比亚的一个“电子安全，集成和警报监控”公司。

图1漏洞获取的Shell脚本有效载荷

此外，shell脚本下载的二进制文件以“clean.[arch]”格式命名（例如clean.x86，clean.mips等），但它们不再托管在网站上。

对有效载荷源进行追踪，发现一些样本从185[.]248.140.102/bins/获取相同的有效载荷。在升级到这个新的多漏洞利用版本的前几天，相同的IP使用名称格式“eeppinen.[arch]”托管了一些Gafgyt样本。

总结

物联网/ Linux僵尸网络继续扩大其攻击面，要么通过针对过多设备的多个漏洞利用攻击，要么通过添加默认凭据列表，或者两者兼而有之。此外，针对企业漏洞他们可以访问带宽比消费者设备更大的链接，从而为DDoS攻击提供更大的火力。

Palo Alto Networks的客户受到以下保护：

·WildFire检测具有恶意判决的所有相关样本。

· 通过威胁防护和PANDB阻止这些活动中涉及的所有漏洞利用和IP / URL。

AutoFocus客户可以使用各个漏洞标记跟踪这些行为：

· CVE-2018-17173

· WePresentCmdInjection

· DLinkRCE

· ZyxelP660HN_RCE

· CVE-2016-1555

· NetgearDGN2200_RCE

· NetgearProsafeRCE

· NetgearReadyNAS_RCE

· LinksysWAP54Gv3_RCE

· CVE-2013-3568

·  ZTEH108L_RCE

附录参见原文