威胁研究正文

Mirai僵尸网络腾讯云防火墙拦截量暴涨,请云租户加强防范

2021-05-21 06:38:06

腾讯安全威胁情报中心近期通过腾讯云防火墙拦截数据发现,有攻击者正在扫描攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,攻击成功后会进一步植入Mirai僵尸网络木马变种,控制这些设备组建僵尸网络,意图发起DDoS攻击。该团伙还同时扫描攻击物联网设备,包括存在未授权远程命令执行漏洞的ZyXEL NAS设备,存在命令注入漏洞的GPON家用光纤路由器设备等。

摘要

l  攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,已影响数千台云主机;

l  攻击存在未授权远程命令执行漏洞(CVE-2020-9054)的ZyXEL NAS设备;

l  攻击存在命令注入漏洞(CVE-2018-10562)的GPON家用光纤路由器设备;

l  针对不同平台不同架构投递不同的Mirai木马程序;

l  木马运行后自删除,进程名伪装成系统/工具进程;

l  相比较原版Mirai,本次拦截的Mirai变种运行后进程名随机伪装成系统/工具进程(共计12个),C2域名资产在21325注册(qplfl.qpalzmcnvbv.xyz),并对其TXT解析记录配置真实C2 通信IP地址(数量达16个),同时预留准备了5个硬编码的通信地址。

一、概述

腾讯安全威胁情报中心近期通过腾讯云防火墙拦截数据发现,有攻击者正在扫描攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,攻击成功后会进一步植入Mirai僵尸网络木马变种,控制这些设备组建僵尸网络,意图发起DDoS攻击。从腾讯云防火墙捕捉的攻击数据包看,该团伙还同时扫描攻击物联网设备,包括存在未授权远程命令执行漏洞(CVE-2020-9054)的ZyXEL NAS设备,存在命令注入漏洞(CVE-2018-10562)的GPON家用光纤路由器设备等。


Mirai僵尸网络是最臭名昭著的僵尸网络团伙,已有数年历史,主要感染对象是智能物联网(IoT)设备,比如网络摄像头、家用路由器、家用网络存储设备(NAS)、安卓设备及Linux服务器。Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或挖矿牟利。


由于互联网上存在安全漏洞的物联网设备和云主机数量庞大,Mirai僵尸网络的规模正在不断扩大。而智能物联网设备的用户很多并不知道系统已被控制,也较少对设备固件进行升级,除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙控制。


根据腾讯云防火墙的拦截数据,5月份,腾讯云防火墙针对Mirai木马漏洞攻击的拦截次数呈大幅上升趋势,未部署腾讯云防火墙的云主机面临漏洞攻击时有失陷风险。

腾讯安全专家建议政企客户尽快修复Jenkins远程命令执行漏洞(CVE-2018-1000861),避免云主机沦为Mirai僵尸网络控制的肉鸡。

腾讯云原生安全产品支持检测拦截Mirai木马对云主机的攻击


清理&加固

腾讯安全专家建议企业安全运维人员检查云主机以下条目,以判断是否遭遇攻击。或使用腾讯主机安全(云镜)进行文件查杀:

排查伪装的以下进程(文件不存在,进程存在)

kerneloops

login

snapd

acpid

busybox

sshd

daemon

Sofia

watchdog

init

initd

系统加固

建议云主机升级jenkins到最新版本;

建议使用ZyXEL NAS设备、GPON家用光纤路由器的用户应尽快升级设备固件,修复安全漏洞。


二、腾讯安全解决方案

Mirai僵尸网络变种相关的威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。


腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。


2

腾讯云防火墙已支持对Mirai僵尸网络变种利用的多种漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Jenkins远程命令执行漏洞(CVE-2018-1000861)。


私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用Mirai僵尸网络变种发起的Jenkins远程命令执行漏洞(CVE-2018-1000861)恶意攻击行为。



私有云客户可通过旁路部署腾讯天幕(NIPS)实时阻断Mirai僵尸网络的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、详细分析

腾讯云防火墙截获多个漏洞利用

腾讯云防火墙近期捕获到的该攻击者的恶意Payload,主要存在以下3种类型的漏洞攻击:分别尝试投递名为test_jenkinstest_nastest_ont的恶意攻击脚本文件,从脚本名来看,攻击者还在不断扩充新攻击武器进行测试。从攻击面来看,攻击者当前重点打击目标包含Linux云主机服务器、NAS(云存储)设备,路由器设备。


Jenkins远程命令执行漏洞(CVE-2018-1000861


Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,是云主机较为常见的系统组件。攻击者利用该漏洞可以执行任意代码,完全控制目标服务器。

ZyXEL NAS未授权远程代码执行漏洞(CVE-2020-9054


运行固件版本5.21的多个ZyXEL NAS设备包含一个预身份验证命令注入漏洞,攻击者利用该漏洞向易受攻击的ZyXEL设备发送特制的HTTP POSTGET请求,从而执行任意代码,从而可以完全控制该设备。

Netlink GPON路由器命令注入漏洞利用(CVE-2018-10562


GPON家用光纤路由器命令注入漏洞,攻击者利用漏洞可以在设备上执行任意命令。全球范围内暴露在互联网上的GPON家庭网关设备上百万台。


黑客控制的网络资产

腾讯安全专家捕捉到的Mirai木马近期主要利用以下3个资产投递恶意载荷,在各个IP均投放了针对不同平台不同架构(armmipspowerpcx86-64等)的Mirai木马程序。

87.120.254.45

185.233.186.56

103.145.13.24

有效载荷

根据目标系统不同,攻击者植入的木马架构也不同,例如下图攻击payload成功后执行的脚本,会针对存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的主机植入x86架构的Mirai木马。


该版本Mirai木马较原版木马有一些特有的改变,在文件隐蔽性,C2通信方式都更加隐蔽。同时该变种移除了Mirai病毒特有的SSH爆破功能,使得其更加精简,同时具备一定的对抗安全软件检测的能力。


病毒将自身修改为与系统/工具进程名一致,实现进程伪装,目的是躲避安全运维人员排查。伪装名随机从以下12个进程中随机挑选。

[kworker/1:2]

/usr/sbin/kerneloops

/bin/login

/usr/lib/snapd/snapd

/usr/sbin/acpid

/bin/busybox

/bin/sshd

/bin/daemon

/bin/Sofia

/bin/watchdog

/bin/init

/bin/initd


木马C2使用分段式字串拆分存储,使用时进行拼接,进而避免暴露完整C2字串特征。拼接后的完整C2地址为:qplfl.qpalzmcnvbv.xyz


病毒对C2进行TXT解析,进而获取真实通信IP地址,首先从准备好的10DNS服务器地址内随机选择一个,尝试对qplfl.qpalzmcnvbv.xyz发起TXT解析。

qplfl.qpalzmcnvbv.xyz当前TXT解析记录包含多个IP,木马尝试从中随机挑选一个进行IP进行连接,主要涉及到以下攻击者的16IP资产。

139.162.34.34

172.104.34.246

45.118.134.129

139.162.42.211

172.104.168.181

139.162.50.123

139.177.179.110

192.155.90.247

85.159.214.241

194.195.251.7

198.74.51.69

172.105.39.239

172.105.111.8

45.79.197.167

45.79.250.252

172.104.110.144


DNS解析失败,无法成功获取C2地址qplfl.qpalzmcnvbv.xyzTXT记录时,则尝试使用硬编码的C2地址进行通信,而后主机将作为僵尸网络被控机器可接受命令执行发起DDoS攻击。


硬编码C2有以下5IP资产:

172.105.121.241

192.46.224.246

192.53.115.97

139.177.187.90

172.104.34.246

四、威胁视角看攻击行为


ATT&CK阶段

行为

侦察

通过扫描对应端口,确认可攻击目标存在的Web服务和系统服务:ZyXEL NASNetlink GPONJenkins等。

资源开发

注册C2服务器

初始访问

利用对外开放的Web,系统服务,发起漏洞攻击植入恶意Payload

执行

利用漏洞植入恶意payload进而执行恶意命令,随后下载植入僵尸网络木马

防御规避

僵尸网络木马将本地文件进行自删除,进而实现本地文件查杀规避,进程名伪装为kworkerloginbusybox12个系统服务或系统工具,意图躲避安全人员排查追踪。

发现

通过扫描目标开放端口信息以确认后续攻击方式

影响

Mirai僵尸网络后门的长期驻留给服务器带来不可预料的各类型网络风险,同时Mirai僵尸网络发起的DDOS攻击也会给互联网带来不可预料的风险。

IOCs

MD5

f1772e3d7edc3297133c06abedf2174b

16eb9fcc50d927b087e45b0d224ebe24

fb4794a0bcb5e4f0028e20295bc86fd5

94b8e8514f024c0147987d6d8b873820

ae53f516f4ee37d533e2c7c05299c2ea

1dfd8c1175b1fc0712240bfea4cf8ba0

8c4052d377dd86c7fd09538987a54c47

URL

hxxp://b.rippr.cc/cron

hxxp://87.120.254.45/cron

hxxp://185.233.186.56/test_jenkins

hxxp://185.233.186.56/test_ont

hxxp://103.145.13.24/test_jenkins

hxxp://87.120.254.45/test_nas

hxxp://87.120.254.45/bot.arm5

hxxp://87.120.254.45/bot.x86_64

hxxp://87.120.254.45/bot.arm7

hxxp://87.120.254.45/bot.arm6

hxxp://87.120.254.45/bot.superh

hxxp://87.120.254.45/bot.arm6/

hxxp://87.120.254.45/bot.arm5/

C2

qplfl.qpalzmcnvbv.xyz

139.162.34.34

172.104.34.246

45.118.134.129

139.162.42.211

172.104.168.181

139.162.50.123

139.177.179.110

192.155.90.247

85.159.214.241

194.195.251.7

198.74.51.69

172.105.39.239

172.105.111.8

45.79.197.167

45.79.250.252

172.104.110.144

172.105.121.241

192.46.224.246

192.53.115.97

139.177.187.90


参考链接:

1.Zyxel NAS,防火墙和LILIN DVRIP摄像机被纳入IoT僵尸网络

2.GPON光纤路由器漏洞分析预警

3.Mirai僵尸网络通过Hadoop Yarn REST API未授权访问漏洞入侵云主机

4.Mirai僵尸网络变种威胁升级,利用弱口令爆破攻击上万台Linux服务器


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。



在线咨询

方案定制