产品中心
产品中心
基础安全
T-Sec iOA零信任安全管理系统
T-Sec DDos 防护
T-Sec 云防火墙
T-Sec 网络入侵防护系统
T-Sec 主机安全
T-Sec 高级威胁检测系统
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 数据安全治理中心
业务安全
T-Sec 天御借贷反欺诈
T-Sec 天御保险反欺诈
T-Sec 天御定制建模
T-Sec 天御风控平台
T-Sec 天御活动防刷
T-Sec 天御注册保护
T-Sec 天御登录保护
T-Sec 天御营销风控
T-Sec 天御验证码
安全服务
T-Sec 安全专家服务
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 安全托管服务
邮件证书 ESC
数据保险箱 CDCS
T-Sec 云访问安全代理
T-Sec 漏洞扫描服务
Web应用防火墙查看详情
腾讯云WAF服务获权威研究机构推荐，入选中国云WAF实践代表
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
数据迁移解决方案
品牌保护解决方案
高防云主机安全
安全托管服务
安全专项解决方案
勒索病毒专项解决方案
游戏行业云上风险安全报告了解更多
腾讯安全根据游戏企业云上安全数据整理，通过安全检测数据观察游戏行业云上业务所面临所安全挑战。
新闻中心
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
在线课堂
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云

威胁研究

正文

Sora-Mirai变种木马利用F5 BIG-IP高危漏洞攻击云主机，腾讯云防火墙成功防御

2021-09-22 06:55:00

腾讯安全威胁情报中心检测到，有攻击者使用F5 BIG-IP 远程代码执行漏洞（CVE-2021-22986）对云主机展开攻击，若攻击成功会投递Sora-Mirai变种木马。Sora-Mirai木马主要控制肉鸡系统组建僵尸网络发起DDoS攻击，或通过挖矿牟利。攻击还会通过telnet弱口令爆破进行蠕虫式扩散。中招系统正常服务会受性能下降影响，已部署腾讯云防火墙的云主机可以直接防御漏洞攻击而不受影响。

一、概述

${xunruicms_img_title}$

腾讯云防火墙同时检测到攻击者利用多个IoT设备漏洞攻击传播，表明其目标还包括那些存在高危漏洞未修复的IoT设备（主要为智能路由器）。值得注意的是，IoT设备的漏洞易被用户所忽视，用户可能持续使用存在漏洞的设备直到淘汰换新。这也是mirai僵尸网络家族规模不断扩大的原因。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台，据国外科技媒体报道，F5 BIG-IP平台的高危漏洞备受黑客最青睐，在2020年度黑客利用最多的漏洞武器排名中，位居第4。F5 BIG-IP远程代码执行漏洞（CVE-2021-22986）允许定义身份验证的攻击者通过BIG-IP管理界面和自身IP地址对 iControl REST 接口进行网络访问，可以导致任意代码执行，从而控制目标系统。

根据腾讯安全网络空间测绘数据，F5 BIG-IP平台在全球分布极广，仅暴露在公网的设备IP就有数十万个。使用量前三的国家为美国（53.05%）、德国（4.32%）、英国（3.95%），中国位居第9，占比为1.43%。在中国国内的应用分布看，北京、上海、广东三省市位居前3，合计使用率接近80%。

${xunruicms_img_title}$

二、详细分析

腾讯云防火墙检测到攻击者使用F5 BIG-IP远程代码执行漏洞CVE-2021-22986对云主机进行攻击：

${xunruicms_img_title}$

腾讯云防火墙同时检测到攻击者还使用了多个已知物联网（IoT）漏洞进行攻击传播，显示这种广撒网的攻击，还针对未修复漏洞的IoT设备：

包括：

华为智能路由器HG532命令执行漏洞CVE-2017-17215

${xunruicms_img_title}$

Gpon路由器命令执行漏洞

${xunruicms_img_title}$

Linksys路由器命令执行漏洞

${xunruicms_img_title}$

若漏洞攻击成功，会继续植入初始恶意载荷脚本sora.sh，该脚本进一步拉取daddy.sh执行，以及拉取不同CPU架构下的可执行木马程序：

${xunruicms_img_title}$

将daddy.sh添加到计划任务持久化

${xunruicms_img_title}$

最终投递载荷为Sora-Mirai变种木马，具备以下行为：

1. Sora-Mirai使用ptrace方式进行反调试，当检测到调试模式则直接自动退出。

2. Sora-Mirai通过fork两个随机名子进程完成恶意行为调度，监听本地端口9658作为互斥量。子进程1接收C2指令完成后门DDoS功能，子进程2则主要负责Telnet蠕虫爆破扩散扫描，C2地址同恶意载荷托管地址一致为209.141.45.139。

${xunruicms_img_title}$

Telnet爆破使用到的弱口令对

${xunruicms_img_title}$

1. 区别于以往的mirai变种，使用DWORD从高到低单字节异或的方式对内部硬编码字串进行加密。该变种使用到的关键字串信息使用魔改的Base64进行编码，单向链表结构存储。

${xunruicms_img_title}$

2. 入侵目标成功后写入stdout感染标识“gosh that italian family at the next table sure is quiet”，该句疑似与俄罗斯间谍剧情故事相关。同时，在样本内嵌了一个与木马功能无关的俄罗斯youtube视频连接地址。

${xunruicms_img_title}$

三、腾讯安全解决方案

攻击者所使用僵尸网络木马、挖矿木马相关威胁数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）、腾讯web应用防火墙等安全产品检测防御相关威胁。

腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马文件一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对企业网络资产进行全面的安全漏洞和弱口令检测。

${xunruicms_img_title}$

腾讯云防火墙支持对F5 BIG-IP 远程代码执行漏洞（CVE-2021-22986）攻击进行检测拦截，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙检测外部漏洞攻击事件记录。

${xunruicms_img_title}$

腾讯Web应用防火墙具备对F5 BIG-IP 远程代码执行漏洞（CVE-2021-22986）的防护能力，如果客户已购买腾讯云WAF则无需任何操作，产品自动更新即获得相应防护能力。腾讯T-Sec Web 应用防火墙（WAF）可帮助公有云用户应对各种 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护等问题。

${xunruicms_img_title}$

私有云客户可通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到利用F5 BIG-IP 远程代码执行漏洞（CVE-2021-22986）的攻击行为。

${xunruicms_img_title}$

政企客户可通过旁路部署腾讯天幕（NIPS）实时拦截本报告提及的利用F5 BIG-IP 远程代码执行漏洞（CVE-2021-22986）入侵的恶意网络连接，彻底封堵攻击流量。腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

${xunruicms_img_title}$

四、威胁视角看攻击行为

ATT&CK阶段	行为
侦察	通过扫描对应端口，确认可攻击目标存在的Web服务和系统服务：F5 BIG-IP, Telnet等。
资源开发	注册C2服务器
初始访问	利用对外开放的Web，系统服务，发起漏洞攻击植入恶意Payload
执行	利用漏洞植入恶意payload进而执行恶意命令，随后下载植入僵尸网络木马
持久化	利用计划任务实现持久化
防御规避	僵尸网络木马伪装自身随即名，意图躲避运维人员排查追踪。
发现	通过扫描目标开放端口信息以确认后续攻击方式
影响	Sora-Mirai僵尸网络后门的长期驻留给服务器带来不可预料的各类型网络风险，同时Mirai僵尸网络发起的DDOS攻击也会给互联网带来不可预料的风险。