发现Mirai新变种：使用多达13种漏洞利用攻击目标路由器和其他设备

概述

近期，我们发现了Mirai的新变种（检测为Backdoor.Linux.MIRAI.VWIPT），该后门程序总共利用了13种不同的漏洞，几乎所有漏洞都在之前与Mirai相关的攻击中使用过。这是典型的Mirai变种，具有后门和分布式拒绝服务（DDoS）功能。然而，这一变种是我们首次发现在单起恶意活动中同时使用13个漏洞利用的案例。

本次攻击发生在我们上次报道Mirai活动的几周后，当时该恶意软件针对各种路由器发动攻击。该变种也使用了在先前攻击中使用过的一些漏洞利用。中国菜刀

新的Mirai变种

我们最初发现这一Mirai新变种，是来源于我们部署的一个蜜罐，该蜜罐用于发现与物联网（IoT）相关的攻击。随着我们对这一恶意软件进行详细分析，我们发现，这种恶意软件使用了不同的传播方式，并且还使用了三个XOR密钥来对数据进行加密。我们使用XOR解密恶意软件的字符串，随即发现该恶意软件的第一个相关指标是Mirai变种。解密后的字符串可以在下图中看到。

· 0x22 （标准Mirai字符串）

· 0x37 （包含“watchdog”的字符串）

· 0xea （用于暴力破解的凭证，包括“telecomadmin”和“admintelecom”等）

下图是解密后的字符串，展示了Mirai的连接：

我们还发现，该变种使用了不同的URL。下面列表中的第一个URL用作命令和控制（C&C）的链接，其余用作下载和投放的链接。在下载和投放工具的链接中，值得注意的一个地方是恶意软件使用了hopTo，这是一个免费的动态DNS（域名服务器）提供商。

· hxxp://32[.]235[.]102[.]123:1337

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips

· hxxp://ililililililililil[.]hopto[.]org/love.sh

我们对新变种的代码进行分析，发现了该恶意软件如何进行传播的更多细节，特别是该恶意软件使用的13种不同的漏洞。前三个漏洞是针对Web开发框架ThinkPHP以及某些华为和Linksys路由器中存在的特定漏洞的扫描程序。我们可以在exploit_worker()中找到此攻击中使用的其余10个漏洞的扫描程序，如下图所示。

Mirai变种代码的快照，展示了13个漏洞其中3个的扫描功能：天空彩

Mirai变种代码的快照，展示了剩余的10个漏洞：

我们发现，除了传播这些漏洞之外，这个Mirai变种还具有以下“妥协指标”（IoC）中列出的几种常用凭据的暴力破解功能。

漏洞利用

如前文所述，该变种是第一个在恶意活动中使用了所有13个漏洞的Mirai变种。这些漏洞利用了路由器、监控产品和其他设备中的漏洞。然而，这并不是我们第一次看到有网络犯罪分子分别使用这13个漏洞。下面列出了所有这13个漏洞利用，以及曾经使用过这些漏洞利用的其他攻击。

1. Vacron NVR CVE

漏洞和受影响的设备：Vacron网络视频录像机（NVR）设备的远程代码执行（RCE）漏洞

相关攻击：Omni

2. CVE-2018-10561和CVE-2018-10562

漏洞和受影响的设备：针对Dasan千兆无线（GPON）路由器的认证绕过和命令注入漏洞

相关攻击：Omni、与Mirai类似的扫描探测

3. CVE-2015-2051

漏洞和受影响的设备：家庭网络管理协议（Home Network Administration Protocol）SOAPAction-header命令执行漏洞，该漏洞存在于某些D-Link设备之中。

相关攻击：Omni、Hakai

4. CCTV-DVR远程代码执行（RCE）漏洞

漏洞和受影响的设备：多个CCTV-DVR厂商的产品存在远程代码执行（RCE）漏洞

相关攻击：Omni、Yowai

5. CVE-2014-8361

漏洞和受影响的设备：通用即插即用（UpnP）简单对象访问协议（SOAP）命令执行漏洞，影响使用miniigd守护程序的Realtek软件开发工具包（SDK）的多种设备

相关攻击：Omni

6. UPnP SOAP TelnetD命令执行漏洞

漏洞和受影响的设备：UpnP SOAP命令执行漏洞利用，影响D-Link设备

相关攻击：Omni

7. Eir WAN端远程命令注入漏洞

漏洞和受影响的设备：Eir D1000无线路由器的广域网（WAN）端远程命令注入漏洞

相关攻击：Omni

8. Netgear Setup.cgi 远程代码执行（RCE）

漏洞和受影响的设备：Netgear DGN1000远程代码执行（RCE）漏洞

相关攻击：Omni

9. CVE-2016-6277

漏洞和受影响的设备：可能允许在Netgear R7000和R6400设备中实现任意远程命令执行的漏洞

相关攻击：Omni、VPNFilter感染

10. MVPower DVR Shell命令执行

漏洞和受影响的设备：MVPower数字视频录像机（DVR）中未经身份验证的RCE漏洞

相关攻击：Omni

11. CVE-2017-17215

漏洞和受影响的设备：华为HG532路由器中存在任意命令执行漏洞

相关攻击：Omni、Satori、Miori

12. Linksys 远程代码执行（RCE）漏洞

漏洞和受影响的设备：Linksys E系列路由器中的远程代码执行漏洞

相关攻击：TheMoon

13. ThinkPHP 5.0.23 / 5.1.31远程代码执行（RCE）漏洞

漏洞和受影响的设备：Web开发框架ThinkPHP的5.0.23和5.1.31版本中存在远程代码执行漏洞

相关攻击：Hakai、Yowai

根据Unit 42团队的一份报告，在上述漏洞之中，有11个漏洞已经在Mirai的另一个变种Omni中使用，相关攻击发生在2018年。其中仅有2个漏洞未被发现在之前的Mirai恶意活动中被使用，它们分别是Linksys和ThinkPHP远程代码执行漏洞。然而，这两个漏洞被用于最近的攻击之中，其中还包括列表中的其他四个，分别是：CVE-2018-10561、CVE-2014-8361、UpnP SOAP TelnetD命令执行漏洞以及CVE-2017-17215漏洞利用。

此外，我们还发现了Gafgyt的变种Hakai以及Mirai的变种Yowai利用CVE-2015-2051和CCTV-DVR远程代码执行漏洞的情况，并在此前的报告中详细介绍了这两个恶意软件变种如何进行ThinkPHP远程代码执行漏洞利用。二四六

总结和安全建议

这一新变种幕后的攻击者可能只是简单地从其他攻击中复制了代码，并且使用了此前恶意样本所使用的漏洞。此外，攻击者之所以选择这样的攻击方式，可能是基于许多受影响的设备都被其他攻击者广泛地进行漏洞利用的现状，并且考虑到目前许多用户尚未针对被利用的漏洞更新补丁。

然而，上述只是猜想，我们只能推测攻击者的动机。

当前，用户已经可以采取预防措施，来防止Mirai变种的传播与成功漏洞利用。具体而言，用户可以及时安装补丁或更新，以防范此类恶意软件所利用的漏洞。用户还应特别注意是否将设备连接到网络，并在选择厂商时着重注意其安全能力和发布更新的及时性。

安全解决方案

用户可以在智能家居网络中选用嵌入式网络的安全解决方案，这样可以保护连接到家庭网络的所有设备免受网络攻击。Trend Micro智能家居网络基于丰富的威胁研究经验和业界领先的深度包检测（DPI）技术，提供智能服务质量（iQoS）、家长控制、网络安全等能力。

Trend Micro智能家居网络通过以下规则保护客户免受此类攻击：

· 1057889：Web D-Link设备UPnP SOAP远程命令执行（BID-61005）

· 1058632：Linksys E系列未经身份验证的远程代码执行（EDB-31683）

· 1059669：D-Link多个型号路由器WEB存在HNAP协议安全绕过漏洞（BID-37690）

· 1133255：XML中存在WEB远程代码执行漏洞

· 1133310：Netgear R7000 WEB命令注入漏洞（CVE-2016-6277）

· 1133419：Netgear R7000 WEB存在命令注入漏洞2（CVE-2016-6277）

· 1133498：通过Shell脚本执行Web远程命令漏洞

· 1133650：CCTV-DVR多个供应商远程代码执行漏洞

· 1134286：WEB Realtek SDK Miniigd UPnP SOAP命令执行漏洞（CVE-2014-8361）

· 1134287：WEB华为家庭网关SOAP命令执行漏洞（CVE-2017-17215）

· 1134610：WEB Dasan GPON路由器命令注入漏洞（CVE-2018-10561）

· 1134611：WEB Dasan GPON路由器命令注入漏洞（CVE-2018-10561）

· 1134687：WEB Netgear DGN1000和Netgear DGN2200未经授权的命令执行漏洞

· 1134812：WEB GPON路由器命令注入漏洞（CVE-2018-10562）

· 1134891：WEB Dasan GPON路由器命令注入漏洞（CVE-2018-10561）

· 1134892：WEB Dasan GPON路由器命令注入漏洞（CVE-2018-10561）

· 1135215：WEB ThinkPHP远程代码执行漏洞

· 1135617：WEB VACRON NVR board.cgi cmd远程命令执行漏洞

我们的深度发现（Deep Discovery）通过专用引擎、自定义沙箱以及整个攻击生命周期内的无缝关联，使用漏洞利用和其他类似威胁针对攻击进行检测、深入分析和主动响应，即使在没有任何引擎或模式更新的情况下，也可以检测这些类型的攻击。上述解决方案由Xgen安全提供支持，该安全为数据中心、云环境、网络和终端提供了针对各种威胁的跨代威胁防御技术。XGen具有智能、可优化、可连接的特点，为安全解决方案套件提供支持，包括混合云安全、用户保护和网络防御。

Deep Discovery检查工具通过以下规则保护客户免受上述攻击：

· 2385：SOAP远程代码执行漏洞利用 – HTTP请求

· 2485：CCTV-DVR远程代码执行漏洞利用 – HTTP请求

· 2543：VACRON远程代码执行漏洞利用 – HTTP请求

· 2547：NETGEAR DGN1000/DGN2200远程代码执行漏洞利用 – HTTP请求

· 2548：LINKSYS远程代码执行 – HTTP请求

· 2575：通过UPnP SOAP接口的命令注入 – HTTP请求

· 2630：HNAP1远程代码执行漏洞利用 – HTTP请求

· 2639：CVE-2018-10562 – GPON远程代码执行 – HTTP请求

· 2786：ThinkPHP 5x远程代码执行 – HTTP请求

IoC

恶意样本的SHA-256哈希：

· c15382bc81e1bff4cf03d769275b7c4d2d586a21e81ad4138464d808e3bb464c

· （Backdoor.Linux.MIRAI.VWIPT）

相关恶意URL：

· hxxp://32[.]235[.]102[.]123:1337（C&C）

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7（下载链接和投放工具）

· hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips（下载链接和投放工具）

· hxxp://ililililililililil[.]hopto[.]org/love.sh（下载链接和投放工具）

用于暴力破解的凭据：

· 12345

· 666666

· 888888

· 20080826

· /ADMIN/

· 1q2w3e4r5

· 3ep5w2u

· admintelecom

· anko

· cisco

· default

· e8ehome

· e8telnet

· guest

· hi3518

· hi3518

· hunt5759

· IPCam@sw

· ipcam_rt5350

· juantech

· juantech

· jvbzd

· jvbzd

· klv123

· klv1234

· klv1234

· password

· qwerty

· QwestM0dem

· service

· service

· smcadmin

· supervisor

· support

· svgodie

· system

· telecomadmin

· ubnt

· xc3511

· xmhdipc

· xmhdpic

· zsun1188

· Zte521