威胁研究正文

Sora-Mirai变种木马利用F5 BIG-IP高危漏洞攻击云主机,腾讯云防火墙成功防御

2021-09-22 06:55:00

腾讯安全威胁情报中心检测到,有攻击者使用F5 BIG-IP 远程代码执行漏洞 (CVE-2021-22986)对云主机展开攻击,若攻击成功会投递Sora-Mirai变种木马。Sora-Mirai木马主要控制肉鸡系统组建僵尸网络发起DDoS攻击,或通过挖矿牟利。攻击还会通过telnet弱口令爆破进行蠕虫式扩散。中招系统正常服务会受性能下降影响,已部署腾讯云防火墙的云主机可以直接防御漏洞攻击而不受影响。

一、概述

腾讯安全威胁情报中心检测到,有攻击者使用F5 BIG-IP 远程代码执行漏洞 (CVE-2021-22986)对云主机展开攻击,若攻击成功会投递Sora-Mirai变种木马。Sora-Mirai木马主要控制肉鸡系统组建僵尸网络发起DDoS攻击,或通过挖矿牟利。攻击还会通过telnet弱口令爆破进行蠕虫式扩散。中招系统正常服务会受性能下降影响,已部署腾讯云防火墙的云主机可以直接防御漏洞攻击而不受影响。

{xunruicms_img_title}

 

腾讯云防火墙同时检测到攻击者利用多个IoT设备漏洞攻击传播,表明其目标还包括那些存在高危漏洞未修复的IoT设备(主要为智能路由器)。值得注意的是,IoT设备的漏洞易被用户所忽视,用户可能持续使用存在漏洞的设备直到淘汰换新。这也是mirai僵尸网络家族规模不断扩大的原因。

 

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台,据国外科技媒体报道,F5 BIG-IP平台的高危漏洞备受黑客最青睐,在2020年度黑客利用最多的漏洞武器排名中,位居第4。F5 BIG-IP远程代码执行漏洞 (CVE-2021-22986)允许定义身份验证的攻击者通过BIG-IP管理界面和自身IP地址对 iControl REST 接口进行网络访问,可以导致任意代码执行,从而控制目标系统。

 

根据腾讯安全网络空间测绘数据,F5 BIG-IP平台在全球分布极广,仅暴露在公网的设备IP就有数十万个。使用量前三的国家为美国(53.05%)、德国(4.32%)、英国(3.95%),中国位居第9,占比为1.43%。在中国国内的应用分布看,北京、上海、广东三省市位居前3,合计使用率接近80%。

{xunruicms_img_title}

二、详细分析

腾讯云防火墙检测到攻击者使用F5 BIG-IP远程代码执行漏洞CVE-2021-22986对云主机进行攻击:

{xunruicms_img_title}

 

腾讯云防火墙同时检测到攻击者还使用了多个已知物联网(IoT)漏洞进行攻击传播,显示这种广撒网的攻击,还针对未修复漏洞的IoT设备:

 

包括:

华为智能路由器HG532命令执行漏洞CVE-2017-17215

{xunruicms_img_title}

 

Gpon路由器命令执行漏洞

{xunruicms_img_title}

 

Linksys路由器命令执行漏洞

{xunruicms_img_title}

 

若漏洞攻击成功,会继续植入初始恶意载荷脚本sora.sh,该脚本进一步拉取daddy.sh执行,以及拉取不同CPU架构下的可执行木马程序:

{xunruicms_img_title}

 

将daddy.sh添加到计划任务持久化

{xunruicms_img_title}

 

最终投递载荷为Sora-Mirai变种木马,具备以下行为:

1.      Sora-Mirai使用ptrace方式进行反调试,当检测到调试模式则直接自动退出。

2.      Sora-Mirai通过fork两个随机名子进程完成恶意行为调度,监听本地端口9658作为互斥量。子进程1接收C2指令完成后门DDoS功能,子进程2则主要负责Telnet蠕虫爆破扩散扫描,C2地址同恶意载荷托管地址一致为209.141.45.139。

{xunruicms_img_title}

{xunruicms_img_title} 


Telnet爆破使用到的弱口令对

{xunruicms_img_title}

 

1.      区别于以往的mirai变种,使用DWORD从高到低单字节异或的方式对内部硬编码字串进行加密。该变种使用到的关键字串信息使用魔改的Base64进行编码,单向链表结构存储。

{xunruicms_img_title}

 

2.      入侵目标成功后写入stdout感染标识“gosh that italian family at the next table sure is quiet”,该句疑似与俄罗斯间谍剧情故事相关。同时,在样本内嵌了一个与木马功能无关的俄罗斯youtube视频连接地址。

{xunruicms_img_title}

{xunruicms_img_title}

三、腾讯安全解决方案

攻击者所使用僵尸网络木马、挖矿木马相关威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)、腾讯web应用防火墙等安全产品检测防御相关威胁。

 

腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马文件一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对企业网络资产进行全面的安全漏洞和弱口令检测。

{xunruicms_img_title}

腾讯云防火墙支持对F5 BIG-IP 远程代码执行漏洞 (CVE-2021-22986)攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙检测外部漏洞攻击事件记录。

{xunruicms_img_title}

 

腾讯Web应用防火墙具备对F5 BIG-IP 远程代码执行漏洞 (CVE-2021-22986)的防护能力,如果客户已购买腾讯云WAF则无需任何操作,产品自动更新即获得相应防护能力。腾讯T-Sec Web 应用防火墙(WAF)可帮助公有云用户应对各种 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护等问题。

{xunruicms_img_title}

 

私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用F5 BIG-IP 远程代码执行漏洞 (CVE-2021-22986)的攻击行为。

{xunruicms_img_title}

 

政企客户可通过旁路部署腾讯天幕(NIPS)实时拦截本报告提及的利用F5 BIG-IP 远程代码执行漏洞 (CVE-2021-22986)入侵的恶意网络连接,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

 

欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。 

{xunruicms_img_title}

 

四、威胁视角看攻击行为

ATT&CK阶段

行为

侦察

通过扫描对应端口,确认可攻击目标存在的Web服务和系统服务:F5 BIG-IP, Telnet等。

资源开发

注册C2服务器

初始访问

利用对外开放的Web,系统服务,发起漏洞攻击植入恶意Payload

执行

利用漏洞植入恶意payload进而执行恶意命令,随后下载植入僵尸网络木马

持久化

利用计划任务实现持久化

防御规避

僵尸网络木马伪装自身随即名,意图躲避运维人员排查追踪。

发现

通过扫描目标开放端口信息以确认后续攻击方式

影响

Sora-Mirai僵尸网络后门的长期驻留给服务器带来不可预料的各类型网络风险,同时Mirai僵尸网络发起的DDOS攻击也会给互联网带来不可预料的风险。

IOCs

MD5

bfbf438e771dc92d615ca83d771b1428

f8e7244d37e22d65aee1aa9106b9b0e4

7abd4e0711e0c8857befcb501eaa290a

aeaa8122e5cc74aa3b5fa7f5be1eafee

19159665b877c7ccf480a34d996d1a4f

1351532f3ee97a1a114eb393e1bbe868

38b9ffa4068eab4810990321558eb2d4

 

URL

hxxp://209.141.45.139/daddy.sh

hxxp://209.141.45.139/bins/tsunami.x86

hxxp://209.141.45.139/bins/tsunami.mips

hxxp://209.141.45.139/bins/tsunami.mpsl

hxxp://209.141.45.139/bins/tsunami.arm4

hxxp://209.141.45.139/bins/tsunami.arm5

hxxp://209.141.45.139/bins/tsunami.arm6

hxxp://209.141.45.139/bins/tsunami.arm7

hxxp://209.141.45.139/bins/tsunami.ppc

hxxp://209.141.45.139/bins/tsunami.m68k

hxxp://209.141.45.139/bins/tsunami.sh4

 

C2

209.141.45.139

 

参考链接:

https://www.freebuf.com/vuls/266971.html

https://thehackernews.com/2021/07/top-30-critical-security.html

 

扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


在线咨询