大鱼吃小鱼:地下论坛分享的GoAhead漏洞利用脚本中被植入了后门程序

背景介绍

大量的观察表明,整个网络空间威胁领域中物联网安全威胁是当下发展最快的,攻击方式从简单的密码猜测,逐渐演进到更为先进的漏洞利用,例如最近广受关注的IoTroop/Reaper僵尸网络。随着物联网的快速普及,各种物联网产品和系统的安全漏洞也相继被披露,越来越多的脚本小子、业务黑客企图利用复制/粘贴等方式,跳上了物联网漏洞利用的快车,在各种地下论坛中,能看到越来越多的关于物联网漏洞利用工具的分享和出售。

根据对地下论坛的观察,网络犯罪分子们进来似乎很热衷于利用有漏洞的GoAhead版本(*GoAhead是一个开源、简易的、功能强大且能在多个平台运行的嵌入式Web服务器)。黑客们利用诸如CVE-2017–8225此类的漏洞可以攻破大量的网络摄像机厂商的产品,IoTroop/Reaper僵尸网络也成功的利用了这一点。

我们在一个黑客论坛中,看到有些用户向脚本小子分享可用于攻破GoAhead设备的脚本,有趣的事,这个脚本包含一个后门程序,可以用来监控使用这些脚本的脚本小子们。

事件分析

2017年10月22日,我们看到了一个黑暗的但受欢迎的站点,它经常会提供一个新的可用于构建物联网僵尸网络的恶意代码,该工具被命名为“NEW IPCAM EXPLOIT”,作用是可以帮忙脚本小子们快速的找到存在漏洞的、已被攻破的嵌入式GoAhead服务器。

根据以往的观察,攻击者之间通常使用C或Python语言开发并共享IoT 攻击代码,不做任何加密处理,但在这起案例中,我们发现代码多次使用了ROT13、BASE64进行处理,同时还增加了一些混淆数据并使用了gzip格式对数据进行了压缩归档。这个异常的行为让我们生疑,猜测攻击者可能在代码中隐藏了什么东西(邪恶的),然后分享给那些需要这些工具的脚本小子们,因此,我们决定深入了解一下这个脚本。

经过多层解码,我们发现这个脚本能够检测出被探测的物联网设备是否使用了使用GoAhead嵌入式服务器,然而,它的功能不止如此,在这份代码中,隐藏了一个后门程序,该后门使用shell脚本语言连接到远程的恶意服务器,下载另一个文件(第2阶段的脚本)并执行它。

当脚本小子们运行这个GoAhead探测脚本时,除了能收获一个脆弱的安装了GoAhead有漏洞版本的设备列表之外,还会创建一个后门程序的访问账号、使用者的IP地址记录,并加载另一个有效载荷。

2阶段:安装后门程序、执行有效载荷

第二阶段的代码为背后的攻击者生成一个具有根用户权限的账号;USER_ID 0,同时还利用IPLogger服务提取脚本小子详细的IP信息,这使攻击者更方便的访问这些脚本小子的设备。

攻击者除了添加一个后门程序、创建一个root权限的用户以及获得脚本小子设备的访问权之外,还下载并运行了一个名为“.s”的有效载荷。

在这个文件中,我们看到了一个熟悉的僵尸网络命令“Kkt9x4JApM0RuSqCLA”,它是知名的僵尸网络 “Kaiten”常用的一个命令。

下图是“Kaiten”僵尸网络公开的源代码中的一部分,其中Kkt9x4JApM0RuSqCLA”这个命令可以调用killsec函数,最终杀死僵尸网络。

结论:大鱼吃小鱼

本文讲述的这个案例虽然很简单,但从中也凸显出了一个趋势,即物联网的攻击者们开始转向一种更有效的攻击向量,在各种黑客论坛中可以看到流传广泛的各类物联网漏洞利用脚本。

我们已经观察到的情况下在Windows恶意软件在后门科维安鼠传播通过各种黑客攻击黑客。现在我们在物联网恶意软件领域发现了类似的东西。

从攻击者的角度来看,这种“大鱼吃小鱼”的游戏是非常“高效的,不妨假设,一个脚本小子管理的僵尸网络包含了10000个物联网设备,他一旦被黑了,其控制的所有设备都会被添加到一个更大的僵尸网络中,后门程序的控制者是最大的赢家,他们堪称僵尸网络中的“将领”。

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/106969.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code