新型物联网恶意软件Persirai分析报告

近日,安天追影团队在整理网络安全事件时,发现一个新型物联网恶意软件,命名为Persirai,恶意软件Persirai已影响了1000多种型号的网络摄像机,目前大约有12万的设备容易受到这种恶意软件的影响。Persirai可以通过利用最近公开的0Day漏洞入侵网络摄像头,并进行大范围的传播,然后发动DDoS攻击。

分析介绍

安天追影团队的分析人员对Persirai家族中MD5为7e1c3834c38984c34b6fd4c741ae3a21的样本进行了简要的分析。

当网络摄像机被攻击者入侵后,该设备会尝试连接一个下载站点,站点返回命令要求网络摄像机执行恶意shell脚本。其中某一脚本”wificam.sh”将会下载并执行一些恶意样本。这些恶意样本在被执行后,会删除自身,仅在内存中运行。恶意样本还会采用一些方法来确保该网络摄像机不被其他攻击者入侵。但是一旦重启,该摄像机又将变得易被入侵攻击。

通过分析,在接收到C&C的命令后,网络摄像机会通过利用一个0day漏洞,开始自动地扫描并入侵其他的网络摄像机。攻击者利用某个漏洞可以获得用户的密码文件,这意味无论用户设置的密码的强弱,攻击者都可以控制该网络摄像机。被C&C服务器控制的网络摄像机,还可接受包含目标IP、端口号的攻击指令,之后通过UDP协议对其他的主机进行DDoS攻击。

Persirai和同为物联网平台恶意软件的Mirai存在许多的相同点:相似的扫描方案,部分函数同源。但同时两者之间也存在许多的不同点:Persirai将C2明文编码在代码中,Mirai使用异或算法加密C2;Persirai采用Mirai从未采用的81端口进行传播;二者通信协议完全不同; Persirai仅存在两种DDoS攻击向量,而Mirai包含10种。

总结

随着物联网的爆发式发展,物联网设备成为了黑客攻击的一大领域。设备中使用了默认的简单密码是物联网设备易被入侵的主要原因。另外,路由器上的即插即用功能,使得网络中的设备将端口直接对外开放。

在此,安天追影团队提醒广大网络用户,使用网络摄像机时,应当尽快修改默认的密码,并禁用路由器上通用的即插即用功能,及时更新自己的设备,减少被漏洞利用的机会。

MD5:

7e1c3834c38984c34b6fd4c741ae3a21

参考链接:

http://blog.trendmicro.com/trendlabs-security-intelligence/persirai-new-internet-things-iot-botnet-targets-ip-cameras/