本帖最后由 腾讯电脑管家 于 2021-5-24 18:47 编辑
Mirai僵尸网络腾讯云防火墙拦截量暴涨,请云租户加强防范
摘要
攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,已影响数千台云主机;攻击存在未授权远程命令执行漏洞(CVE-2020-9054)的ZyXEL NAS设备; 攻击存在命令注入漏洞(CVE-2018-10562)的GPON家用光纤路由器设备; 针对不同平台不同架构投递不同的Mirai木马程序; 木马运行后自删除,进程名伪装成系统/工具进程; 相比较原版Mirai,本次拦截的Mirai变种运行后进程名随机伪装成系统/工具进程(共计12个),C2域名资产在21年3月25注册(qplfl.qpalzmcnvbv.xyz),并对其TXT解析记录配置真实C2 通信IP地址(数量达16个),同时预留准备了5个硬编码的通信地址。
一、概述腾讯安全威胁情报中心近期通过腾讯云防火墙拦截数据发现,有攻击者正在扫描攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,攻击成功后会进一步植入Mirai僵尸网络木马变种,控制这些设备组建僵尸网络,意图发起DDoS攻击。从腾讯云防火墙捕捉的攻击数据包看,该团伙还同时扫描攻击物联网设备,包括存在未授权远程命令执行漏洞(CVE-2020-9054)的ZyXEL NAS设备,存在命令注入漏洞(CVE-2018-10562)的GPON家用光纤路由器设备等。 Mirai僵尸网络是最臭名昭著的僵尸网络团伙,已有数年历史,主要感染对象是智能物联网(IoT)设备,比如网络摄像头、家用路由器、家用网络存储设备(NAS)、安卓设备及Linux服务器。Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或挖矿牟利。 由于互联网上存在安全漏洞的物联网设备和云主机数量庞大,Mirai僵尸网络的规模正在不断扩大。而智能物联网设备的用户很多并不知道系统已被控制,也较少对设备固件进行升级,除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙控制。 根据腾讯云防火墙的拦截数据,5月份,腾讯云防火墙针对Mirai木马漏洞攻击的拦截次数呈大幅上升趋势,未部署腾讯云防火墙的云主机面临漏洞攻击时有失陷风险。 腾讯安全专家建议政企客户尽快修复Jenkins远程命令执行漏洞(CVE-2018-1000861),避免云主机沦为Mirai僵尸网络控制的肉鸡。 图1 腾讯云原生安全产品支持检测拦截Mirai木马对云主机的攻击 清理&加固腾讯安全专家建议企业安全运维人员检查云主机以下条目,以判断是否遭遇攻击。或使用腾讯主机安全(云镜)进行文件查杀: 排查伪装的以下进程(文件不存在,进程存在) kerneloops login snapd acpid busybox sshd daemon Sofia watchdog init initd 系统加固 建议云主机升级jenkins到最新版本; 建议使用ZyXEL NAS设备、GPON家用光纤路由器的用户应尽快升级设备固件,修复安全漏洞。 二、腾讯安全解决方案Mirai僵尸网络变种相关的威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。 腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。 图2
腾讯云防火墙已支持对Mirai僵尸网络变种利用的多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Jenkins远程命令执行漏洞(CVE-2018-1000861)。 图3
私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用Mirai僵尸网络变种发起的Jenkins远程命令执行漏洞(CVE-2018-1000861)恶意攻击行为。 图4 私有云客户可通过旁路部署腾讯天幕(NIPS)实时阻断Mirai僵尸网络的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。 三、详细分析腾讯云防火墙截获多个漏洞利用腾讯云防火墙近期捕获到的该攻击者的恶意Payload,主要存在以下3种类型的漏洞攻击:分别尝试投递名为test_jenkins,test_nas,test_ont的恶意攻击脚本文件,从脚本名来看,攻击者还在不断扩充新攻击武器进行测试。从攻击面来看,攻击者当前重点打击目标包含Linux云主机服务器、NAS(云存储)设备,路由器设备。 Jenkins远程命令执行漏洞(CVE-2018-1000861) 图5 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,是云主机较为常见的系统组件。攻击者利用该漏洞可以执行任意代码,完全控制目标服务器。 ZyXEL NAS未授权远程代码执行漏洞(CVE-2020-9054) 图6 运行固件版本5.21的多个ZyXEL NAS设备包含一个预身份验证命令注入漏洞,攻击者利用该漏洞向易受攻击的ZyXEL设备发送特制的HTTP POST或GET请求,从而执行任意代码,从而可以完全控制该设备。 Netlink GPON路由器命令注入漏洞利用(CVE-2018-10562) 图7 GPON家用光纤路由器命令注入漏洞,攻击者利用漏洞可以在设备上执行任意命令。全球范围内暴露在互联网上的GPON家庭网关设备上百万台。 黑客控制的网络资产腾讯安全专家捕捉到的Mirai木马近期主要利用以下3个资产投递恶意载荷,在各个IP均投放了针对不同平台不同架构(arm,mips,powerpc,x86-64等)的Mirai木马程序。 87.120.254.45 185.233.186.56 103.145.13.24 图8 有效载荷根据目标系统不同,攻击者植入的木马架构也不同,例如下图攻击payload成功后执行的脚本,会针对存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的主机植入x86架构的Mirai木马。 该版本Mirai木马较原版木马有一些特有的改变,在文件隐蔽性,C2通信方式都更加隐蔽。同时该变种移除了Mirai病毒特有的SSH爆破功能,使得其更加精简,同时具备一定的对抗安全软件检测的能力。 病毒将自身修改为与系统/工具进程名一致,实现进程伪装,目的是躲避安全运维人员排查。伪装名随机从以下12个进程中随机挑选。 [kworker/1:2] /usr/sbin/kerneloops /bin/login /usr/lib/snapd/snapd /usr/sbin/acpid /bin/busybox /bin/sshd /bin/daemon /bin/Sofia /bin/watchdog /bin/init /bin/initd 木马C2使用分段式字串拆分存储,使用时进行拼接,进而避免暴露完整C2字串特征。拼接后的完整C2地址为:qplfl.qpalzmcnvbv.xyz 病毒对C2进行TXT解析,进而获取真实通信IP地址,首先从准备好的10个DNS服务器地址内随机选择一个,尝试对qplfl.qpalzmcnvbv.xyz发起TXT解析。 qplfl.qpalzmcnvbv.xyz当前TXT解析记录包含多个IP,木马尝试从中随机挑选一个进行IP进行连接,主要涉及到以下攻击者的16个IP资产。 139.162.34.34 172.104.34.246 45.118.134.129 139.162.42.211 172.104.168.181 139.162.50.123 139.177.179.110 192.155.90.247 85.159.214.241 194.195.251.7 198.74.51.69 172.105.39.239 172.105.111.8 45.79.197.167 45.79.250.252 172.104.110.144 当DNS解析失败,无法成功获取C2地址qplfl.qpalzmcnvbv.xyz的TXT记录时,则尝试使用硬编码的C2地址进行通信,而后主机将作为僵尸网络被控机器可接受命令执行发起DDoS攻击。 硬编码C2有以下5个IP资产: 172.105.121.241 192.46.224.246 192.53.115.97 139.177.187.90 172.104.34.246 四、威胁视角看攻击行为 | 行为 | | 通过扫描对应端口,确认可攻击目标存在的Web服务和系统服务:ZyXEL NAS、Netlink GPON、Jenkins等。 | | | | 利用对外开放的Web,系统服务,发起漏洞攻击植入恶意Payload | | 利用漏洞植入恶意payload进而执行恶意命令,随后下载植入僵尸网络木马 | | 僵尸网络木马将本地文件进行自删除,进而实现本地文件查杀规避,进程名伪装为kworker,login,busybox等12个系统服务或系统工具,意图躲避安全人员排查追踪。 | | | | Mirai僵尸网络后门的长期驻留给服务器带来不可预料的各类型网络风险,同时Mirai僵尸网络发起的DDOS攻击也会给互联网带来不可预料的风险。 |
MD5 f1772e3d7edc3297133c06abedf2174b 16eb9fcc50d927b087e45b0d224ebe24 fb4794a0bcb5e4f0028e20295bc86fd5 94b8e8514f024c0147987d6d8b873820 ae53f516f4ee37d533e2c7c05299c2ea 1dfd8c1175b1fc0712240bfea4cf8ba0 8c4052d377dd86c7fd09538987a54c47 URL hxxp://b.rippr.cc/cron hxxp://87.120.254.45/cron hxxp://185.233.186.56/test_jenkins hxxp://185.233.186.56/test_ont hxxp://103.145.13.24/test_jenkins hxxp://87.120.254.45/test_nas hxxp://87.120.254.45/bot.arm5 hxxp://87.120.254.45/bot.x86_64 hxxp://87.120.254.45/bot.arm7 hxxp://87.120.254.45/bot.arm6 hxxp://87.120.254.45/bot.superh hxxp://87.120.254.45/bot.arm6/ hxxp://87.120.254.45/bot.arm5/ C2 qplfl.qpalzmcnvbv.xyz 139.162.34.34 172.104.34.246 45.118.134.129 139.162.42.211 172.104.168.181 139.162.50.123 139.177.179.110 192.155.90.247 85.159.214.241 194.195.251.7 198.74.51.69 172.105.39.239 172.105.111.8 45.79.197.167 45.79.250.252 172.104.110.144 172.105.121.241 192.46.224.246 192.53.115.97 139.177.187.90 参考链接:Zyxel NAS,防火墙和LILIN DVR和IP摄像机被纳入IoT僵尸网络 GPON光纤路由器漏洞分析预警 Mirai僵尸网络通过Hadoop Yarn REST API未授权访问漏洞入侵云主机 Mirai僵尸网络变种威胁升级,利用弱口令爆破攻击上万台Linux服务器
| 
发表于 2021-5-24 18:46:12
