最近海康威视又一次因自身漏洞被黑客利用而遭受攻击,攻击者可以利用这個漏洞在web服务器上发送一些带有恶意命令消息,于是发起命令注入攻击,
9 月 18 日,研究人员就披露海康威视各类产品被有关远程代码执行漏洞攻击,当时海康威视一部分产品中web模块存在一個命令注入漏洞,由于对输入参数校验不百分之百,攻击者可以发送带有恶意命令报文到受影响设备,成功利用此漏洞可以导致命令执行,该漏洞很快被命名为 CVE-2021-36260,并在研究人员披露同一天发布针对该漏洞补丁,不久之后之后,FortiGuard Labs 开发一個 IPS 签名来搞定这個难题,
在分析过程中,咱们观察到大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据,极具是一种有效载荷引起咱们注意,它试图删除一個表现出感染行为并执行 Moobot 下载程序,Moobot是一根据Mirai开发僵尸网络家族,自从其发生就一直很活跃,同时持有零日漏洞利用本事,
咱们会在本文祥明介绍攻击者如何经由该漏洞传播此有效载荷,
漏洞开发、传播
CVE-2021-36260 源于输入验证不够,允许未经身份验证运用者将恶意内容注入,
利用 CVE-2021-36260 流量
咱们收集很多利用此漏洞有效载荷,并最后找到一個下载程序,跟踪流量捕获后,完整载荷如下图所示:
来自 CVE-2021-36260 有效载荷
先说,因最后 Moobot 将被保存为“macHelper”,它先说尝试删除任何已经命名为“macHelper”文件,而后它将代码回传给“downloader”,这是一個很小ELF 32位LSB ARM文件,下载程序完成下载后,执行参数为“hikivision”Moobot,它会更改常用命令,比方说“重启”,以防止管理员在受影响设备上调用重启,
下载程序
攻击者利用该漏洞释放下载程序〔SHA256:1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F〕,它任务就一個——下载僵尸网络,它运用“/arm5”URI 表单服务器 199.195.250〔.〕233:80 下载恶意软件,倘若下载过程成功,则打印“RAY”,反汇编代码如下图所示:
下载程序
经由 IP 地址,咱们不光可以获取不同样架构 moobot 变体,还可以从目录“/h/”中获取历史上发生恶意软件,
来自下载程序 IP 示例列表
Moobot被攻击者利用
根据咱们分析,上一阶段下载恶意软件〔SHA256:38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557〕是根据MiraiMoobot,它最明显特点是包含数据串“w5q6he3dbrsgmclkiu4to18npavj702f”,被用于“rand_alphastr”函数,它用于创建具有不同样目随机字母数字字符串,比方说用于设置进程名称或生成用于攻击数据,
Moobot 字母数字字符串函数
它还有一些来自 Satori 元素,这是另一個 Mirai 变体僵尸网络,它包含一個针对受害者物联网设备“下载程序”,并在执行后打印“9xsspnvgc8aj5pi7m28p”字符串,该变体还运用进程名称“/usr/sbin*”自我分散,以便在删除原始文件“macHelper”时看起来像一個正常进程,Satori僵尸网络创建者是一位名为“Nexus Zeta”黑客,该僵尸网络是2016年10月在线发布Mirai物联网恶意软件一個新变体,该僵尸网络火速扩张本事丝毫不亚于Mirai僵尸网络,短短12個小时内就成功激活超过28万個各异IP,影响数十万台路由器设备,
Moobot 代码片段
由于它是根据Mirai,僵尸网络也包含一個数据一部分来存储其配置,明文配置可以在与 0x22 异或后解码:
包含配置解码数据
从配置中获取 C2 服务器 〔life.zerobytes〔.〕cc〕 后,它开始发送heartbeat 〔\x00\x00〕 数据包,而后等待来自 C2 服务器下一個控制命令,一旦受害系统收到命令,它就会对特定 IP 地址、端口号发起 DDoS 攻击,DDoS 攻击流量一個示比方说下所示:
Syn-Flood
Syn-Flood攻击是当前网络上最为常见DDoS攻击,也是最为经典拒绝服务攻击,它利用TCP协议实行上一個缺陷,经由向网络服务所在端口发送大量伪造源地址攻击报文,就大概造成意向服务器中半开连接队列被占满,于是阻止其他合法运用者实行访问,
DDoS 攻击命令为 24 字节,,祥明信息如下图所示,其中涵盖Flood攻击方法、意向 IP/端口,除SYN Flood,C2服务器还有其他攻击命令,比方说UDP Flood 0x06,ACK Flood 0x04,ACK+PUSH Flood 0x05,
命令
从尝试感染海康威视产品到部署Moobot完整攻击场景下图所示:
攻击场景
咱们还注意到在下图中一個根据设备数据包捕获DDoS服务供应商,经过追踪分析,这是一個名为“tianrian”telegram频道,该频道供应 DDoS 服务,如下图所示,他们在登录界面中运用特定字符串“openmeokbye”,该频道创建于 2021 年 6 月 11 日,并于 8 月开始供应服务,从聊天频道咱们可以看到服务还在更新中,运用者应该始终注意DDoS攻击,并对易受攻击设备应用补丁,
从受感染设备捕获流量
telegram频道
总结
海康威视是全球最大安防产品及影像搞定技术、影像分析技术供应商之一,CVE-2021-36260 是一個严重漏洞,它使海康威视产品变成 Moobot 意向。
参考及来源:https://www.fortinet.com/blog/threat-research/mirai-based-botnet-moobot-targets-hikvision-vulnerability