长期以来,我们对网络上活动的Linux和IoT威胁进行分类和分析工作。本文将主要介绍针对Linux.Omni僵尸网络进行分析,我们从部署的蜜罐中检测到该恶意软件。之所以这个僵尸网络引起了我们的注意,是因为它的感染库中包含高达11种不同的漏洞。经过分析,我们最终确定该威胁属于IoTReaper的新版本。
首先,让我们感到惊讶的第一件事就是该恶意软件的分类,也就是OMNI。近几周来,我们检测到了OWARI、TOKYO、SORA、ECCHI等等,所有这些恶意软件都是Gafgyt和Mirai的分支版本。并且,所有这些恶意软件与之前的分析结果相比,没有任何创新。
因此,分析该恶意软件的感染方式,我们发现如下说明:
如我们所见,这是一个非常常见的脚本,通过另一个僵尸网络感染。
尽管当前,一切证据都表明这个样本是Mirai或Gafgyt的一个常见变种,但我们还是对样本进行了下载和分析。
在分析过程中,我们初步发现二进制文件是使用UPX进行加壳的,这在大多数同类型样本中不是很常见,但在其他一些流行的僵尸网络变种中却并不罕见。
经过查看二进制文件后,我们发现其二进制文件的基本结构与Mirai相匹配。
但是,我们在分析二进制文件中的感染选项时,发现其攻击方式存在不同。除了使用默认凭据进行传播之外,它还利用了已经在IoTReaper、Okiru、Satori等其他僵尸网络中发现的IoT设备漏洞,包括近期发现的影响GPON路由器的漏洞。
接下来,让我们来仔细分析Omni所使用的漏洞。
在“board.cgi”中,使用了VACRON网络视频录像机中代码注入的漏洞,该参数在HTTP请求解析中,并没有得到较好的调试。我们曾发现IoTReaper僵尸网络利用了这一漏洞。
在Omni中发现的另一个漏洞是CVE-,该漏洞是通过对受影响路由器的cgi-bin/目录进行GET请求实现,最终导致远程代码执行。该漏洞影响Netgear如下型号的路由器:R6400、R7000、R7000P、R7500、R7800、R8000、R8500、R9000。
与IoTReaper一样,Omni也利用了D-Link路由器的命令。僵尸网络利用了hedwig.cgi中存在的Cookie溢出漏洞,并通过UPnP接口实现命令注入。
我们可以在二进制文件中查看该漏洞:
受漏洞影响的固件版本如下:
恶意软件使用的另一个漏洞,影响了70多个不同的厂商。该漏洞与“/language/Swedish”资源相关,最终允许远程执行代码。
可以在这里找到受该漏洞影响的设备列表:
该漏洞在2014年被发现,允许绕过CAPTCHA登录认证,同时允许外部攻击者执行远程代码。该漏洞被恶意软件The Moon使用。
该漏洞影响如下固件版本的D-Link路由器:
该漏洞在2016年11月,被Mirai僵尸网络利用,最终导致德国电信被攻陷。
二进制文件中相应部分如下:
2.7 华为HG532路由器 – 任意命令执行
华为HG532路由器中存在配置文件错误验证的漏洞,攻击者可以通过修改HTTP请求来利用这一漏洞,最终实现任意命令执行。
目前已经发现,Okiru、Satori恶意软件利用了这一漏洞,并且我们已经在此前的文章进行了分析:
该漏洞影响Netgear路由器DGN.00.48固件版本,在未经验证的情况下,允许远程执行代码。
多个设备使用了带有miniigd守护程序的Realtel SDK,这些守护程序存在通过UPnP SOAP接口实现的命令注入漏洞。该漏洞与上面提到的华为路由器漏洞一样,已经发现被Okiru、Satori恶意软件利用。
最后,我们发现了该僵尸网络利用的最新漏洞,该漏洞在上个月被发现,影响GPON路由器。目前,该漏洞已经在一些针对Linux服务器的IoT僵尸网络和挖矿恶意程序中被利用。
此外,僵尸网络也通过默认凭证的方式实现扩散,这些凭证使用了与0x33不同的密钥进行XOR编码(0x33是该恶意软件家族通常使用的密钥),其中每个组合都使用不同的密钥。
尽管攻击方式各有不同,但在设备上执行的命令是相同的:
其下载的文件是bash脚本,该脚本会根据受感染设备的体系结构来下载不同的样本。
我们可以看到,这里进行的漏洞利用与我们所分析的样本并不对应。在这里,只会搜索具有潜在受漏洞影响的HTTP接口的设备,并且会检查是否存在默认凭据的问题,从而感染其他设备。感染途径共有两种,一种是使用前面提到的11个漏洞,另一种是针对公开HTTP服务的潜在目标尝试默认凭据登录。
因此,该体系结构与之前我们发现IoTReaper僵尸网络的体系结构非常相似。
四、寻找Omni幕后黑手
通过对二进制文件的深入调查,我们找到了IP地址213.183.53 [.] 120,该IP地址作为样本的下载服务器。尽管没有找到可用的目录列表,但我们在根目录中找到了一个“Discord”平台,该平台通常是游戏玩家观众的文字和语音聊天工具。
由于该平台不需要任何权限或邀请就能进入,我们使用了megahacker名称,进入聊天。
在加入后,我们发现,聊天的主题并非游戏,而是关于销售僵尸网络服务的内容。
在房间内观察了几分钟之后,我们发现在Omni背后的网络犯罪分子名为Scarface。并且,他为他的僵尸网络制作了一些非常酷的广告海报。
此外,该网络犯罪分子还提供僵尸网络的用户支持服务,并且接受潜在消费者提出的需求,正在尝试提升僵尸网络,使其达到60 Gbps的目标。
我们发现,网络犯罪分子非常不专业,Scarface多次展示其使用僵尸网络获得的“成绩”,其中的一些数字非常荒谬。此外,该网络犯罪分子极其警惕,担心每一位进入该聊天室的人都有可能是警察。
最终,我们确定了Linux.Omni恶意软件实际上就是IoTReaper恶意软件的更新版本,二者使用了相同的网络架构格式,并且Linux.Omni使用了Mirai的源代码。
本文转载自嘶吼,作者:41yf1sh,