Gafgyt家族物聯網僵尸網絡家族分析

2019-12-25 22756人圍觀 ,發現 1 個不明物體 其他

背景

隨著IOT(物聯網)設備被越來越多的使用,互聯網上針對IOT設備的攻擊也在日益增加。相對于對傳統終端安全性的重視程度,如各種殺軟,終端檢測,防火墻的使用,個人及企業用戶對IOT設備的安全性重視仍然不夠。加之IOT設備固件更新緩慢,被攻擊后發現周期長的特性,使得攻擊者可以以更低成本獲得一臺有更長控制權限的設備。這些被攻陷的IOT設備通常被用于發動DDoS攻擊。著名僵尸網絡家族mirai曾在2016年,利用數十萬臺IOT設備對域名解析商Dyn發起DDoS攻擊,導致幾乎整個美國東海岸的網絡陷入癱瘓。Gafgyt是與Mirai類似的知名僵尸網絡家族,本文將對其從多個角度進行詳細分析。

簡介

Gafgyt(又稱BASHLITE,Qbot,Lizkebab,LizardStresser)是一款基于IRC協議的物聯網僵尸網絡程序,主要用于發起DDoS攻擊。它可以利用內置的用戶名、密碼字典進行telnet爆破和對IOT設備RCE(遠程命令執行)漏洞利用進行自我傳播。于2015年泄露源碼并被上傳至github,此后衍生出多個變種,次年對互聯網上的IOT設備的總感染數達到100W。Gafgyt家族曾發起過峰值400Gbps的DDoS攻擊。截至2019年底,Gafgyt家族仍是除Mirai家族外的最大活躍物聯網僵尸網絡家族。

樣本來源

本文分析的樣本均來自于互聯網。

目標

地域:不限

目標設備:IOT

目標行業:不限

In The Wild IP熱力圖

源碼分析

Client端

注釋

使用圖形化的注釋,將整個文件分為15個部分,分別為defines,includes,Config,Functions,Globals,FPRNG,utils,IP Utils,TelnetScanner lel,UDP Flood,TCP Flood,JUNK Flood,Hold Flood,Send Email,IRC Main。

C2服務器列表

Globals,全局變量聲明,包含爆破用的用戶名/密碼對

控制端下發命令格式: !command arg

PING

測試對方是否存活

客戶端

服務端

GETLOCALIP

使用getsockname獲取本機ip并返回給服務器

SCANNER

分為SCANNERON/OFF兩個命令,分別為開始/結束telnet掃描線程。整個掃描過程由state和complete兩個標記位進行控制

下面對telnet掃描過程進行詳細分析:

telnet掃描共分為10步:

1 生成隨機IP,并嘗試對IP的23端口進行socket連接。如果連接成功,state置為1,進行下一步;否則state仍為0,重復當前步驟。

2 使用select函數判斷上一步建立的socket連接是否可用,如果不可用將state置為0,返回第一步;如果可用繼續用getsockopt函數獲取socket的選項,獲取成功state置為2,否則置為0。

3嘗試從socket返回的數據中查找”ogin”(推測為telnet的登陸標記login,為什么少了一位不清楚),如果能讀取到state置為3

4嘗試發送用戶名列表中的用戶名和回車標記,如果發送成功state置為4

5讀取服務器端返回,如果上一步的用戶名輸入成功,服務器應該會進一步響應password并等待客戶端輸入密碼,因此該步嘗試從socket中查找“assword”標記,若找到state置為5,否則認為不需要密碼可直接登錄,state置為100;若找到的標記為“ncorrect”(推測為incorrect,用戶名錯誤時服務器的響應內容),state置為0。

6嘗試發送密碼和回車,發送成功標記state置為6

7嘗試查找服務器返回的字符串中是否由”ncorrect”標記,如果找到,state置為0,否則查找一系列登陸成功后的命令行標記(:>%$#\0),如果找到,state置為7

8發送“sh/r/n”標記,嘗試調用sh,發送成功state置為8,否則置為0

9發送以下內容(在控制臺中打印gafgyt),成功則state置為9

/bin/busybox;echo -e'\\147\\141\\171\\146\\147\\164'\r\n

10檢查返回值,打印結果:目標ip,登陸成功的用戶名和密碼

EMAIL

向指定郵件服務器發送請求,嘗試向指定郵箱發送指定內容。在當前版本的源碼中該方法被注釋

JUNK

TCP 泛洪攻擊,向指定IP指定端口發送指定時間的隨機字符串,使用命令

        JUNK <ip><port> <time>

發送的過程與telnet掃描類似,建立socket連接

判斷連接是否可用

檢查連接選項

最后生成1024長度的隨機字符串并寫入socket

隨機字符串生成規則為任意大寫字母

UDP

UDP泛洪攻擊,向指定IP和端口發送指定時間長度的任意字符串,且具有源IP地址欺騙功能。使用命令:

UDP<target> <port (0 for random)> <time> <netmask (32 for nonspoofed)> <packet size (1 to 65500)> (time poll interval, default 10)

不開啟源地址欺騙過程比較簡單,建立連接,循環發送字符串

開啟源地址欺騙需要先構造IP包,寫入隨機IP地址,并填充隨機字符串,最后計算校驗和并循環發送

TCP

TCP泛洪攻擊,除TCP flags設置之外,其余與UDP基本一致。使用命令:

TCP<target> <port (0 for random)> <time> <netmask (32 for nonspoofed)> <flags (syn, ack, psh, rst, fin, all) comma seperated>(packet size, usually 0) (time poll interval, default 10)

攻擊者可自定義tcp報文的flags位,可選項syn/rst/fin/ack/psh,且可任意選擇一種或全部使用

HOLD

在指定時間內,持續嘗試與指定IP和端口建立TCP連接,但是不發送任何數據

KILLATTK

通過Kill掉除主進程外的所有子進程來停止DoS攻擊

LOLNOGTFO

C2通過IP地址判斷,同一個肉雞多次發送上線包時,即肉雞多次執行惡意elf的情況,C2會下發該命令強制退出當前啟動的進程。

流量分析

PING/PONG指令

GETLOCALIP指令

SCANNER ON指令

JUNK指令

TCP偽造源IP,flags設置為all

UDP偽造源IP,包長度設置為1000

HOLD命令

單條session

DoS攻擊小結

攻擊者在利用控制的僵尸主機發起DoS攻擊時,出于隱藏攻擊源IP的目的,會重新構造IP層報文以重設源IP;而TCP和UDP報文都是基于IP頭的,當使用自建IP頭時,TCP/UDP報文也需要重建。這種隱藏攻擊源IP的方式常見于不需要建立三次握手的DoS攻擊中,如TCP flood和UDP flood,需要建立三次握手的JUNK flood則會因為第二次握手包返回到偽造的IP而導致連接建立失敗,無法通過TCP連接發送垃圾數據報文。而IP packet中的部分字段是有“上下文的“而非固定的,這就導致攻擊者需要使用一些值去填充這些字段。

在Gafgyt家族客戶端中,對IP頭的重構部分源代碼如下

可以看到IP頭的id字段被填充為隨機字符串。根據RFC定義,IP層包的頭結構如下:

其中id應該是對應identification字段。操作系統中的IP構造方法會維持一個計數器,每產生一個IP報文該值會+1。攻擊者在構造報文時無法讀取上一個identification值,自然只能用隨機或固定數值去填充。雖然IP協議是無連接協議,使得這個值不能作為序列號使用,但是identification值的自增特性決定了它一定程度上可以作為一種弱判斷標記。

再來看TCP頭的構造代碼:

TCP頭共有3個字段被填充為隨機值,1個值被填充為0。TCP頭結構如下:

代碼中的source字段應該對應source port,可以忽略;seq字段對應sequence number,ack_seq字段對應acknowledgement number,這兩者為TCP可靠傳輸的保證。sequence number為當前包中payload第一個字節的序號,acknowledgement number代表已接收數據的序號,這兩者都是有狀態的,如果能在性能允許的情況下維護一個TCP報文的序號表,那么使用這個表是可以進行這種類型的DoS防御的。即新來的報文既沒有SYN標記,它的seq和ack序號又不能在序號表中找到對應項,那么該報文一定是可以直接丟棄的。

Window字段即滑動窗口值,該值用于接收端告訴發送端當前能夠接收的最大數據字節數。該值會隨接收方主機鏈路情況發生變化,不適用于DoS報文檢測。

UDP包頭中只有源端口被填充為隨機值,在此不再分析。

主機特征

開放端口,生成進程/子進程。

關聯分析

基于在一定時間內使用同一基礎設施(如C2/ITW)的樣本屬于同一團伙的假設,對2019年捕獲到的所有Gafgyt家族樣本進行C2/ITW 信息提取并進行關聯,關聯結果如下:

其中紅色點代表ITW地址,綠色點代表C2地址,每一條邊代表所連接的兩個點的地址曾出現在同一樣本中(或從一個點對應地址下載的樣本會以另一點對應地址為C2)。其中獨立的點代表其ITW和ip為同一地址。

可以比較明顯的看到關聯超過5個點的類有三個,按照從下至上的順序將其命名為家族1、家族2和家族3。

家族分析

家族1

家族1中包含1個C2地址和6個ITW地址。

從蜜罐獲取樣本的時間來看,該家族的活躍時間為2019年4月26日至今。4月26日第一次出現的樣本,被存儲在89.46.223.195服務器上,共涵蓋9種架構,大多數為靜態鏈接并剝離了調試信息,只有一個樣本為靜態編譯未剝離調試信息。

從樣本中方法調用情況來看,該樣本并不完整,疑似攻擊者正在對樣本進行測試而未正式使用。與原始樣本相比,該樣本有如下變化:

1.增加了20+種控制命令,包含給客戶端增加nickname,修改客戶端內置C2地址,通訊流量加密以及遠程下載文件并執行的方法,顯著增強了樣本功能(部分命令未實現)

2.添加自啟動功能,避免設備重啟后失去控制權

3.進行telnet掃描時使用如下payload,而原始樣本僅進行弱口令掃描。

從腳本可以看出在進行傳播時,腳本先通過wget獲取樣本托管服務器上的sh腳本保存到本地并重命名,再通過執行sh腳本進一步下載真正的惡意樣本。sh腳本會下載所有架構的樣本并依次執行,以保證在不同架構的設備上都能夠使對應的樣本運行起來。

4.新增多種DoS攻擊方式,且為可偽造源IP的DoS攻擊編寫了專門的包頭構造方法

且字符串窗口中存在大量user-agent信息,疑似為實現HTTP Flood攻擊做準備:

5.增加對8種應用/設備的RCE漏洞掃描和利用

6.還有一段似乎是對某安全研究人員的嘲諷

攻擊者于4月27日對樣本進行了第一次更新,樣本命名方式改為abe.+樣本架構,仍然包括9種架構的樣本,投遞服務器為89.46.223[.]199。

對比發現內部僅有掃描Payload中的惡意腳本下載地址和編譯器生成的部分內容發生改變,腳本下載地址由89.46.223[.]199修改為89.46.223[.]195。

此次更新后,89.46.223[.]195和89.46.223[.]199同時托管惡意樣本且內置腳本下載鏈接均為對方IP。直到5月2日,新的惡意樣本托管服務器89.46.223[.]180加入,托管樣本與之前的兩個IP托管的樣本一致,樣本內置掃描payload種的下載鏈接為89.46.223[.]195。

5月8日,新的惡意樣本托管服務器89.46.223[.]81加入,且前述3個樣本托管服務器均停止使用。89.46.223[.]81上托管的樣本,內置掃描Payload中的downloader腳本為自身。

6月12日,新的樣本托管服務器89.32.41[.]15上線,托管的樣本僅有7種架構且均為剝離調試信息。對樣本進行靜態分析發現樣本內容仍沒有改動。內置掃描Payload中的惡意樣本下載地址為89.46.223[.]81。

此后該家族停止惡意活動,直至10月22日重新開始惡意活動,此時惡意樣本托管服務器ip為151.80.197[.]109,托管的樣本仍然覆蓋9種架構CPU,仍然只有64位MIPS架構樣本未剝離調試信息。但是此時樣本大小發生了明顯變化,由之前的520KB變為720KB。

通過靜態分析,本次樣本更新主要新增了以下幾種用于自我傳播的RCE漏洞和用于CC攻擊的User-Agent內容。新增漏洞payload如下:

小結

活躍時間線:

2019年4月26日,樣本托管服務器89.46.223[.]195上線,樣本內嵌下載ip:89.46.223[.]195

2019年4月27日,樣本托管服務器89.46.223[.]199上線,樣本內嵌下載ip: 89.46.223[.]195

2019年5月2日,樣本托管服務器89.46.223[.]180上線,樣本內嵌下載ip: 89.46.223[.]199

2019年5月8日,樣本托管服務器89.46.223[.]81上線,樣本內嵌下載ip: 89.46.223.81/89.46.223[.]195

2019年6月12日,樣本托管服務器89.32.41[.]15上線,樣本內嵌下載ip: 89.46.223.81/89.46.223[.]195

2019年10月22日,樣本托管服務器151.80.197[.]109上線,樣本內嵌下載ip: 151.80.197[.]109/89.46.223[.]81。樣本新增漏洞利用Payload和User-Agent。

擴散手法:telnet弱口令掃描,RCE漏洞利用

目標地域:隨機IP

目標設備:IOT

目標CPU架構:ARM,ARM(GNU/Linux),Intel 80386,MIPS64,MIPS-I,Motoroal68020,PowerPC,Renesas SH,x86-64

樣本編譯情況:靜態鏈接,stripped

漏洞列表:

序號 CVE 名稱
1 CVE-2019-3929 Optoma遠程命令注入漏洞
2 CVE-2018-10561 Dasan GPON遠程命令執行漏洞
3 CVE-2018-14847 MicroTik遠程命令執行漏洞
4 CVE-2018-20841 HooToo路由器遠程命令執行漏洞
5 CVE-2017-17215 HUAWEI HG532遠程命令執行漏洞
6 CVE-2016-6277 NETGEAR命令注入漏洞
7 CVE-2014-8361 Miniigd UPnP SOAP命令執行漏洞
8 - CCTV-DVR遠程命令執行漏洞
9 - DLink Router遠程命令注入漏洞
10 - UPnP SOAP命令執行漏洞
11 - Eir D1000遠程命令注入漏洞
12 - ZyXEL路由器遠程命令注入漏洞
13 - ThinkPHP5遠程命令執行漏洞
14 - NETGEAR DGN1000遠程命令執行漏洞
15 - DLink DSL命令注入漏洞
16 - VACRON CCTV遠程命令執行漏洞

IOC:

序號 IP country
1 151.80.197[.]109 United Kingdom
2 89.46.223[.]81 United Kingdom
3 89.46.223[.]195       United Kingdom
4 89.46.223[.]180       Romania
5 89.32.41[.]15 United Kingdom
6 89.46.223[.]199 France
7 54.36.212[.]123 United Kingdom

(涉及樣本較多,不在此列出)

家族2

家族2活躍支持的架構較少,在活躍時間范圍內僅有4個樣本。

序號 哈希 架構
1 30a0c139fd384484d723e73a34547a25 MIPS-I,statically linked, stripped
2 624d47eda16cfc7ff1b97496fd42243a Intel 80386, statically linked, stripped
3 eda730498b3d0a97066807a2d98909f3 ARM, version 1, statically linked, stripped
4 b9d461d7157eb8b726ef9eecebb6cb9a MIPS-I, statically linked, stripped

如上表所示,樣本均為靜態編譯且剝離了調試信息。

與原始樣本相比,該家族樣本主要變化如下:

通過將自身加入到系統初始化目錄中實現自啟動

入侵IOT設備成功后,通過修改配置文件、iptables禁用端口的方式關閉管理/控制端口,已以控制時間:

廠商一光貓:

廠商二光貓

利用10種RCE漏洞進行自我傳播:

小結

活躍時間線:

2019年10月30日,樣本托管服務器115.51.203[.]137上線,投遞樣本eda

2019年10月31日,樣本托管服務器115.51.203[.]137新投遞樣本30a,624

2019年11月1日,樣本托管服務器118.249.40[.]35和220.135.22[.]121上線,分別投遞樣本30a和eda;

2019年11月2日,樣本托管服務器101.65.118[.]108和182.113.234[.]110上線,投遞樣本eda和b9d

2019年11月5日,樣本托管服務器220.134.139[.]113上線,投遞樣本eda

2019年11月6日,樣本托管服務器218.35.45[.]116上線,投遞樣本eda

2019年11月7日,樣本托管服務器183.196.233[.]193上線,投遞樣本eda

2019年11月8日,樣本托管服務器182.127.92[.]221和39.77.124[.]251上線,投遞樣本30a,624,eda

2019年11月10日,樣本托管服務器42.225.182[.]239上線,投遞樣本30a和eda

2019年11月13日,樣本托管服務器101.65.118[.]108上線,投遞樣本eda

2019年11月15日,樣本托管服務器221.223.37[.]152和42.231.94[.]209上線,分別投遞樣本eda和30a

2019年11月16日,樣本托管服務器114.240.90[.]197和221.223.37[.]152上線,分別投遞樣本30a、eda和30a、624

擴散手法:telnet弱口令掃描,RCE漏洞利用

目標地域:隨機IP

目標設備:IOT

目標CPU架構:ARM, Intel 80386,MIPS-I

樣本編譯情況:靜態鏈接,stripped

漏洞列表:

序號 CVE 名稱
1 CVE-2016-6277 NETGEAR命令注入漏洞
2 CVE-2017-17215 HUAWEI HG532遠程命令執行漏洞
3 CVE-2018-10561 Dasan GPON遠程命令執行漏洞
4 CVE-2014-8361 Miniigd UPnP SOAP命令執行漏洞
5 - ZyXEL路由器遠程命令注入漏洞
6 - DLink Router遠程命令注入漏洞
7 - UPnP SOAP命令執行漏洞
8 - CCTV-DVR遠程命令執行漏洞
9 - NETGEAR DGN1000遠程命令執行漏洞
10 - VACRON CCTV遠程命令執行漏洞

IOC:

IP列表

序號 IP country
1 87.98.162[.]88 Franc
2 101.65.117[.]115 China
3 101.65.118[.]108 China
4 101.65.119[.]23 China
5 114.240.90[.]197 China
6 115.51.203[.]137 China
7 118.249.40[.]35 China
8 182.113.229[.]250 China
9 182.113.234[.]110 China
10 182.127.92[.]221 China
11 183.196.233[.]193 China
12 218.35.45[.]116 China
13 220.134.139[.]113 China
14 220.135.22[.]121 China
15 221.223.37[.]152 China
16 39.77.124[.]251 China
17 42.225.182[.]239 China
18 42.231.94[.]209 China

樣本列表

序號 哈希 架構
1 30a0c139fd384484d723e73a34547a25 MIPS-Istatically linked, stripped
2 624d47eda16cfc7ff1b97496fd42243a Intel 80386, statically linked, stripped
3 eda730498b3d0a97066807a2d98909f3 ARM, version 1, statically linked, stripped
4 b9d461d7157eb8b726ef9eecebb6cb9a MIPS-I, statically linked, stripped

用戶名列表

序號 用戶名
1 root
2 admin
3 super
4 telnetadmin
5 !!Huawei
6 keomeo
7 support
8 e8telnet
9 e8ehome1
10 e8ehome
11 user
12 mother
13 Administrator
14 service
15 supervisor
16 guest
17 admin1
18 666666
19 888888
20 ubnt
21 tech

密碼列表

序號 用戶名
1 root
2 admin
3 xc3511
4 vizxv
5 888888
6 gpon
7 Zte521
8 hg2x0
9 epicrouter
10 conexant
11 xJ4pCYeW
12 v2mprt
13 PhrQjGzk
14 [email protected]
15 gw1admin
16 adminpass
17 xmhdipc
18 default
19 juantech
20 telnetadmin
21 @HuaweiHgw
22 adminHW
23 2010vesta
24 2011vesta
25 keomeo
26 plumeria0077
27 cat1029
28 123456
29 54321
30 support
31 e8telnet
32 e8ehome1
33 e8ehome
34 hi3518
35 password
36 12345
37 user
38 fucker
39 pass
40 admin1234
41 1111
42 smcadmin
43 666666
44 1234
45 klv123
46 service
47 supervisor
48 guest
49 ubnt
50 klv1234
51 zte
52 jvbzd
53 anko
54 zlxx
55 7ujMko0vizxv
56 7ujMko0admin
57 system
58 ikwb
59 dreambox
60 realtek
61 1111111
62 123456
63 meinsm
64 tech

家族3

家族3中包含1個C2和40個ITW IP.

該家族至少從2019年1月2日開始活動(只篩選了2019年以后的樣本)至2019年9月28日。2019年樣本第一出現是部署在31.214.157[.]71服務器上。

與家族1和2一致,該家族同樣是先通過下載shell腳本再運行的方式下載真正的惡意二進制樣本并運行,以適應不同架構設備環境。

這個shell腳本中使用了一個小技巧,即使用“||”符號來分隔cd directory命令。這樣當/tmp目錄不存在時,系統會提示“No such file or directory”,但仍會繼續執行第二個cd directory命令。這樣既能滿足在不常用目錄存儲惡意樣本不被發現的需求,又能在不常用目錄不存在時使得惡意樣本能正常保存下來。

與家族1和家族2相比,家族3的樣本并沒有刻意剝離調試信息;樣本命名方式簡單粗暴,直接采用架構簡稱作為樣本名稱:

對其中的x86架構樣本進行簡單靜態分析,與原始代碼區別如下:

首先對自身進程重命名為/usr/sbin/dropbear

調用table_init函數,初始化一系列加密后的數據

然后調用函數進行解密。從攻擊者沒有剝離調試信息看,進行加密的主要目的是防止直接從靜態字符串中看到這些信息。

解密算法如下:

要獲得解密后的信息有兩種方式:

(1)調試。使用ida pro遠程調試樣本,打開ida pro安裝目錄下的dbgsrv目錄,根據樣本架構選擇linux_server64,與待調試樣本一起放到一臺linux主機的某一目錄下,修改linux_server64的權限并運行,得到調試端口23946。簡單分析代碼邏輯,回到ida中在長度比較和結果返回兩處位置下斷

調試器選項中選擇Remote Linux debugger,點擊開始調試,輸入linux主機IP和端口,斷下來后觀察異或操作時修改的位置,循環兩次后發現程序對堆上的0x23e8050地址進行修改。取消第一個斷點,運行發現字符串已經解密,內容為:

并不是想象中的惡意服務器地址信息。

(2)當目標樣本難以進行調試時,可以對解密邏輯進行分析,并使用Python代碼實現邏輯完成解密。該樣本進行了初始化和解密兩個步驟,所以先需要分析初始化邏輯,將數據布置在內存中之后再進行解密。

初始化邏輯比較簡單,直接將字符串部署在table列表的指定位置

解密函數的輸入參數為待解密字符串在table種的索引,解密算法為從低到高依次取table_key的一位與加密字符串進行異或計算,異或后的結果繼續與table_key取出的下一位進行異或,四次異或后即為解密結果。

使用Python實現以上邏輯:

依次對加密字符串進行解密,結果如下:

利用CVE-2017-17215遠程命令執行漏洞進行傳播

利用Realtek SDK -Miniigd UPnP SOAP遠程命令執行漏洞進行傳播

然后開始循環調用processCmd函數,監聽來自服務端的信息,并進行對應處理。與原始樣本相比,發生變化的命令變動如下:

新增“HTTP”命令,用于對目標地址發起CC攻擊

新增“STD”命令,用于發起udp STD flood攻擊

新增“CRASH”命令,用于發起RTCP flood攻擊

新增“CRUSH”命令,用于發起TCP flood和STD flood。

新增“SMITE”命令,用于發起針對Valve Source Engine的泛洪攻擊。

新增“CNC命令”,用于切換客戶端連接的CNC端

然后直到2019年2月5日,攻擊者在104.168.143[.]19上部署新樣本。通過對比發現,僅有利用漏洞傳播時payload中的下載鏈接發生變化

2019年2月20日,攻擊者在104.168.169[.]89上部署新樣本,樣本功能仍未發生改變,利用漏洞傳播時payload中的下載地址為31.214.157[.]71

2019年2月22日,攻擊者在176.31.78[.]52上部署新樣本,新增對4種RCE漏洞的利用。漏洞已包含在家族1中,在此不再詳細分析。

2019年3月19日,攻擊者在68.183.121[.]242上部署新樣本,樣本中增加了大量的User-Agent字符串

接下來一段時間內,攻擊者一直在新的服務器上部署樣本,但是樣本功能基本未發生變化。知道2019年7月28日,攻擊者在165.22.187[.]56上部署新樣本,downloader腳本和樣本命名方式均未改變,樣本大小由141KB變化為245KB。但是經分析發現,攻擊者只是在樣本尾部添加了部分字符串,并未對樣本結構產生影響,IDA也未解析這部分數據。

2019年8月7日,攻擊者在185.244.25[.]75上部署新樣本。樣本命名方式變為樣本md5作為樣本名,樣本內容未發生變化。

小結

活躍時間線:

2019年01月02日,樣本托管服務器31.214.157[.]71上線,樣本內嵌下載ip:31.214.157[.]71

2019年02月05日,樣本托管服務器104.168.143[.]19上線,樣本內嵌下載ip:104.168.143[.]19

2019年02月20日,樣本托管服務器104.168.169[.]89上線,樣本內嵌下載ip:31.214.157[.]71

2019年02月22日,樣本托管服務器176.31.78[.]52上線,樣本內嵌下載ip:176.31.78[.]52

2019年02月28日,樣本托管服務器142.93.11[.]223上線,樣本內嵌下載ip:142.93.11[.]223

2019年03月15日,樣本托管服務器35.246.45[.]191上線,樣本內嵌下載ip:35.246.45[.]191

2019年03月19日,樣本托管服務器68.183.121[.]242上線,樣本內嵌下載ip:68.183.121[.]242

2019年03月20日,樣本托管服務器188.166.116[.]249上線,樣本內嵌下載ip:188.166.116[.]249

2019年03月26日,樣本托管服務器157.230.92[.]69上線,樣本內嵌下載ip:157.230.92[.]69

2019年03月27日,樣本托管服務器68.183.148[.]125上線,樣本內嵌下載ip:68.183.148[.]125

2019年03月28日,樣本托管服務器46.36.35[.]127上線,樣本內嵌下載ip:46.36.35[.]127

2019年03月31日,樣本托管服務器185.244.25[.]117上線,樣本內嵌下載ip:185.244.25[.]117

2019年03月31日,樣本托管服務器68.183.24[.]85上線,樣本內嵌下載ip:68.183.24[.]85

2019年04月03日,樣本托管服務器185.244.25[.]114上線,樣本內嵌下載ip:185.244.25[.]114

2019年04月06日,樣本托管服務器194.135.92[.]252上線,樣本內嵌下載ip:194.135.92[.]252

2019年04月09日,樣本托管服務器104.248.28[.]163上線,樣本內嵌下載ip:104.248.28[.]163

2019年04月11日,樣本托管服務器134.209.8[.]154上線,樣本內嵌下載ip:134.209.8[.]154

2019年04月11日,樣本托管服務器188.166.63[.]234上線,樣本內嵌下載ip:188.166.63[.]234

2019年04月21日,樣本托管服務器157.230.4[.]62上線,樣本內嵌下載ip:157.230.4[.]62

2019年04月30日,樣本托管服務器185.172.110[.]226上線,樣本內嵌下載ip:185.172.110[.]226

2019年05月10日,樣本托管服務器37.49.225[.]230上線,樣本內嵌下載ip:37.49.225[.]230

2019年05月14日,樣本托管服務器188.166.14[.]76上線,樣本內嵌下載ip:188.166.14[.]76

2019年05月16日,樣本托管服務器198.12.97[.]73上線,樣本內嵌下載ip:198.12.97[.]73

2019年05月17日,樣本托管服務器174.138.52[.]74上線,樣本內嵌下載ip:174.138.52[.]74

2019年05月24日,樣本托管服務器107.173.57[.]152上線,樣本內嵌下載ip:107.173.57[.]152

2019年06月03日,樣本托管服務器185.172.110[.]214上線,樣本內嵌下載ip:185.172.110.214

2019年06月10日,樣本托管服務器204.48.18[.]12上線,樣本內嵌下載ip:204.48.18[.]12

2019年06月13日,樣本托管服務器139.99.137[.]154上線,樣本內嵌下載ip:139.99.137[.]154

2019年06月14日,樣本托管服務器185.172.110[.]238上線,樣本內嵌下載ip:185.181.11[.]144

2019年06月17日,樣本托管服務器159.89.177[.]184上線,樣本內嵌下載ip:159.89.177[.]184

2019年06月20日,樣本托管服務器195.231.8[.]82上線,樣本內嵌下載ip:195.231.8[.]82

2019年06月20日,樣本托管服務器198.175.125[.]100上線,樣本內嵌下載ip:104.248.167[.]251

2019年06月22日,樣本托管服務器54.39.7[.]243上線,樣本內嵌下載ip: 195.231.8[.]82

2019年07月02日,樣本托管服務器198.199.76[.]237上線,樣本內嵌下載ip:198.199.76[.]237

2019年07月07日,樣本托管服務器178.128.245[.]57上線,樣本內嵌下載ip:178.128.245[.]57

2019年07月09日,樣本托管服務器134.209.80[.]188上線,樣本內嵌下載ip:134.209.80[.]188

2019年07月26日,樣本托管服務器167.114.115[.]119上線,樣本內嵌下載ip:167.114.115[.]119

2019年07月28日,樣本托管服務器165.22.187[.]56上線,樣本內嵌下載ip:165.22.187[.]56

2019年08月06日,樣本托管服務器185.244.25[.]75上線,樣本內嵌下載ip:185.244.25[.]75

2019年09月28日,樣本托管服務器174.128.226[.]101上線,樣本內嵌下載ip:174.128.226[.]101

擴散手法:telnet弱口令掃描,RCE漏洞利用

目標地域:隨機IP

目標設備:IOT

目標CPU架構:ARM,ARM(SYSV),Intel 80386,MIPS-I,Motoroal 68020,PowerPC,Renesas SH,x86-64,SPARC

樣本編譯情況:靜態鏈接,not stripped

漏洞列表:

序號 CVE 名稱
1 CVE-2018-10561 Dasan GPON遠程命令執行漏洞
2 CVE-2017-17215 HUAWEI HG532遠程命令執行漏洞
3 CVE-2014-8361 Miniigd UPnP SOAP命令執行漏洞
4 - DLink DSL命令注入漏洞
5 - ZyXEL路由器遠程命令注入漏洞
6 - ThinkPHP5遠程命令執行漏洞

IOC:

IP列表

序號 IP country
1 206.189.136[.]239 India
2 104.168.143[.]19 United States
3 104.168.169[.]89 United States
4 104.248.28[.]163 Germany
5 107.173.57[.]152 United States
6 134.209.8[.]154 United States
7 134.209.80[.]188 Netherlands
8 139.99.137[.]154 Australia
9 142.93.11[.]223 United States
10 157.230.4[.]62 United States
11 157.230.92[.]69 United States
12 159.89.177[.]184 United States
13 165.22.187[.]56 United States
14 167.114.115[.]119 Canada
15 174.128.226[.]101 United States
16 174.138.52[.]74 United States
17 176.31.78[.]52 France
18 178.128.245[.]57 Netherlands
19 185.172.110[.]214 Netherlands
20 185.172.110[.]226 Netherlands
21 185.172.110[.]238 Netherlands
22 185.244.25[.]114 Netherlands
23 185.244.25[.]117 Netherlands
24 185.244.25[.]75 Netherlands
25 188.166.116[.]249 Netherlands
26 188.166.14[.]76 Netherlands
27 188.166.63[.]234 Netherlands
28 194.135.92[.]252 Lithuania
29 195.231.8[.]82 Italy
30 198.12.97[.]73 United States
31 198.175.125[.]100 United States
32 198.199.76[.]237 United States
33 204.48.18[.]12 United States
34 31.214.157[.]71 Netherlands
35 35.246.45[.]191 United Kingdom
36 37.49.225[.]230 Netherlands
37 46.36.35[.]127 Czech
38 54.39.7[.]243 Canada
39 68.183.121[.]242 United States
40 68.183.148[.]125 United States
41 68.183.24[.]85 United States

(涉及樣本哈希較多,不在此列出)

由于行文倉促加之個人水平有限,難免會有分析錯誤或描述不清之處,歡迎多多批評指正。

*本文作者:未然實驗室_威脅信息分析團隊,轉載請注明來自FreeBuf.COM

相關推薦
發表評論

已有 1 條評論

取消
Loading...

這家伙太懶,還未填寫個人描述!

1 文章數 0 評論數 0 關注者

特別推薦

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗