-
-
[原创]Mirai僵尸网络腾讯云防火墙拦截量暴涨,请云租户加强防范
-
发表于: 2021-5-24 18:54 6379
-
摘要
l 攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,已影响数千台云主机;
l 攻击存在未授权远程命令执行漏洞(CVE-2020-9054)的ZyXEL NAS设备;
l 攻击存在命令注入漏洞(CVE-2018-10562)的GPON家用光纤路由器设备;
l 针对不同平台不同架构投递不同的Mirai木马程序;
l 木马运行后自删除,进程名伪装成系统/工具进程;
l 相比较原版Mirai,本次拦截的Mirai变种运行后进程名随机伪装成系统/工具进程(共计12个),C2域名资产在21年3月25注册(qplfl.qpalzmcnvbv.xyz),并对其TXT解析记录配置真实C2 通信IP地址(数量达16个),同时预留准备了5个硬编码的通信地址。
一、概述
腾讯安全威胁情报中心近期通过腾讯云防火墙拦截数据发现,有攻击者正在扫描攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,攻击成功后会进一步植入Mirai僵尸网络木马变种,控制这些设备组建僵尸网络,意图发起DDoS攻击。从腾讯云防火墙捕捉的攻击数据包看,该团伙还同时扫描攻击物联网设备,包括存在未授权远程命令执行漏洞(CVE-2020-9054)的ZyXEL NAS设备,存在命令注入漏洞(CVE-2018-10562)的GPON家用光纤路由器设备等。
Mirai僵尸网络是最臭名昭著的僵尸网络团伙,已有数年历史,主要感染对象是智能物联网(IoT)设备,比如网络摄像头、家用路由器、家用网络存储设备(NAS)、安卓设备及Linux服务器。Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或挖矿牟利。
由于互联网上存在安全漏洞的物联网设备和云主机数量庞大,Mirai僵尸网络的规模正在不断扩大。而智能物联网设备的用户很多并不知道系统已被控制,也较少对设备固件进行升级,除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙控制。
根据腾讯云防火墙的拦截数据,5月份,腾讯云防火墙针对Mirai木马漏洞攻击的拦截次数呈大幅上升趋势,未部署腾讯云防火墙的云主机面临漏洞攻击时有失陷风险。
腾讯安全专家建议政企客户尽快修复Jenkins远程命令执行漏洞(CVE-2018-1000861),避免云主机沦为Mirai僵尸网络控制的肉鸡。
图1
腾讯云原生安全产品支持检测拦截Mirai木马对云主机的攻击
清理&加固
腾讯安全专家建议企业安全运维人员检查云主机以下条目,以判断是否遭遇攻击。或使用腾讯主机安全(云镜)进行文件查杀:
排查伪装的以下进程(文件不存在,进程存在)
kerneloops
login
snapd
acpid
busybox
sshd
daemon
Sofia
watchdog
init
initd
系统加固
建议云主机升级jenkins到最新版本;
建议使用ZyXEL NAS设备、GPON家用光纤路由器的用户应尽快升级设备固件,修复安全漏洞。
二、腾讯安全解决方案
Mirai僵尸网络变种相关的威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。
腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。
图2
腾讯云防火墙已支持对Mirai僵尸网络变种利用的多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Jenkins远程命令执行漏洞(CVE-2018-1000861)。
图3
私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用Mirai僵尸网络变种发起的Jenkins远程命令执行漏洞(CVE-2018-1000861)恶意攻击行为。
图4
私有云客户可通过旁路部署腾讯天幕(NIPS)实时阻断Mirai僵尸网络的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。
三、详细分析
腾讯云防火墙截获多个漏洞利用
腾讯云防火墙近期捕获到的该攻击者的恶意Payload,主要存在以下3种类型的漏洞攻击:分别尝试投递名为test_jenkins,test_nas,test_ont的恶意攻击脚本文件,从脚本名来看,攻击者还在不断扩充新攻击武器进行测试。从攻击面来看,攻击者当前重点打击目标包含Linux云主机服务器、NAS(云存储)设备,路由器设备。
Jenkins远程命令执行漏洞(CVE-2018-1000861)
图5
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,是云主机较为常见的系统组件。攻击者利用该漏洞可以执行任意代码,完全控制目标服务器。
ZyXEL NAS未授权远程代码执行漏洞(CVE-2020-9054)
图6
运行固件版本5.21的多个ZyXEL NAS设备包含一个预身份验证命令注入漏洞,攻击者利用该漏洞向易受攻击的ZyXEL设备发送特制的HTTP POST或GET请求,从而执行任意代码,从而可以完全控制该设备。
Netlink GPON路由器命令注入漏洞利用(CVE-2018-10562)
图7
GPON家用光纤路由器命令注入漏洞,攻击者利用漏洞可以在设备上执行任意命令。全球范围内暴露在互联网上的GPON家庭网关设备上百万台。
黑客控制的网络资产
腾讯安全专家捕捉到的Mirai木马近期主要利用以下3个资产投递恶意载荷,在各个IP均投放了针对不同平台不同架构(arm,mips,powerpc,x86-64等)的Mirai木马程序。
87.120.254.45
185.233.186.56
103.145.13.24
图8
有效载荷
根据目标系统不同,攻击者植入的木马架构也不同,例如下图攻击payload成功后执行的脚本,会针对存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的主机植入x86架构的Mirai木马。
该版本Mirai木马较原版木马有一些特有的改变,在文件隐蔽性,C2通信方式都更加隐蔽。同时该变种移除了Mirai病毒特有的SSH爆破功能,使得其更加精简,同时具备一定的对抗安全软件检测的能力。
病毒将自身修改为与系统/工具进程名一致,实现进程伪装,目的是躲避安全运维人员排查。伪装名随机从以下12个进程中随机挑选。
[kworker/1:2]
/usr/sbin/kerneloops
/bin/login
/usr/lib/snapd/snapd
/usr/sbin/acpid
/bin/busybox
/bin/sshd
/bin/daemon
/bin/Sofia
/bin/watchdog
/bin/init
/bin/initd
木马C2使用分段式字串拆分存储,使用时进行拼接,进而避免暴露完整C2字串特征。拼接后的完整C2地址为:qplfl.qpalzmcnvbv.xyz
病毒对C2进行TXT解析,进而获取真实通信IP地址,首先从准备好的10个DNS服务器地址内随机选择一个,尝试对qplfl.qpalzmcnvbv.xyz发起TXT解析。
qplfl.qpalzmcnvbv.xyz当前TXT解析记录包含多个IP,木马尝试从中随机挑选一个进行IP进行连接,主要涉及到以下攻击者的16个IP资产。
139.162.34.34
172.104.34.246
45.118.134.129
139.162.42.211
172.104.168.181
139.162.50.123
139.177.179.110
192.155.90.247
85.159.214.241
194.195.251.7
198.74.51.69
172.105.39.239
172.105.111.8
45.79.197.167
45.79.250.252
172.104.110.144
当DNS解析失败,无法成功获取C2地址qplfl.qpalzmcnvbv.xyz的TXT记录时,则尝试使用硬编码的C2地址进行通信,而后主机将作为僵尸网络被控机器可接受命令执行发起DDoS攻击。
硬编码C2有以下5个IP资产:
172.105.121.241
192.46.224.246
192.53.115.97
139.177.187.90
172.104.34.246
四、威胁视角看攻击行为
ATT&CK阶段 | 行为 |
侦察 | 通过扫描对应端口,确认可攻击目标存在的Web服务和系统服务:ZyXEL NAS、Netlink GPON、Jenkins等。 |
资源开发 | 注册C2服务器 |
初始访问 | 利用对外开放的Web,系统服务,发起漏洞攻击植入恶意Payload |
执行 | 利用漏洞植入恶意payload进而执行恶意命令,随后下载植入僵尸网络木马 |
防御规避 | 僵尸网络木马将本地文件进行自删除,进而实现本地文件查杀规避,进程名伪装为kworker,login,busybox等12个系统服务或系统工具,意图躲避安全人员排查追踪。 |
发现 | 通过扫描目标开放端口信息以确认后续攻击方式 |
影响 | Mirai僵尸网络后门的长期驻留给服务器带来不可预料的各类型网络风险,同时Mirai僵尸网络发起的DDOS攻击也会给互联网带来不可预料的风险。 |
IOCs
MD5
f1772e3d7edc3297133c06abedf2174b
16eb9fcc50d927b087e45b0d224ebe24
fb4794a0bcb5e4f0028e20295bc86fd5
94b8e8514f024c0147987d6d8b873820
ae53f516f4ee37d533e2c7c05299c2ea
1dfd8c1175b1fc0712240bfea4cf8ba0
8c4052d377dd86c7fd09538987a54c47
URL
hxxp://b.rippr.cc/cron
hxxp://87.120.254.45/cron
hxxp://185.233.186.56/test_jenkins
hxxp://185.233.186.56/test_ont
hxxp://103.145.13.24/test_jenkins
hxxp://87.120.254.45/test_nas
hxxp://87.120.254.45/bot.arm5
hxxp://87.120.254.45/bot.x86_64
hxxp://87.120.254.45/bot.arm7
hxxp://87.120.254.45/bot.arm6
hxxp://87.120.254.45/bot.superh
hxxp://87.120.254.45/bot.arm6/
hxxp://87.120.254.45/bot.arm5/
C2
qplfl.qpalzmcnvbv.xyz
139.162.34.34
172.104.34.246
45.118.134.129
139.162.42.211
172.104.168.181
139.162.50.123
139.177.179.110
192.155.90.247
85.159.214.241
194.195.251.7
198.74.51.69
172.105.39.239
172.105.111.8
45.79.197.167
45.79.250.252
172.104.110.144
172.105.121.241
192.46.224.246
192.53.115.97
139.177.187.90
参考链接:
Zyxel NAS,防火墙和LILIN DVR和IP摄像机被纳入IoT僵尸网络
GPON光纤路由器漏洞分析预警
https://www.anquanke.com/post/id/107252
Mirai僵尸网络通过Hadoop Yarn REST API未授权访问漏洞入侵云主机
https://mp.weixin.qq.com/s/IdKj2OZmVIUcj9RSERdlTQ
Mirai僵尸网络变种威胁升级,利用弱口令爆破攻击上万台Linux服务器
https://mp.weixin.qq.com/s/8yTiVyxC6_aapGhrTs1uWw