研究人员通过Mirai恶意软件有效载荷发现了两个新的物联网漏洞针对嵌入式和物联网设备的软件漏洞,主要是分布式拒绝服务攻击(DDoS)及其自我复制方法,自2016年以来已成功入侵多个值得注意的目标。这些针对IoT设备包括无线投影系统、机顶盒、SD-WAN甚至智能家居遥控器。Mirai是一种恶意软件,可以将运行Linux的计算系统变成远程控制的僵尸网络,从而达到通过僵尸网络进行大规模网络攻击的目的。Mirai的主要目标是可以访问互联网的消费电子设备,例如网络监控摄像头和家庭路由器。最近,PaloAltoNetworks正积极尝试保护其客户免受可能的攻击,方法是利用其下一代防火墙作为边界传感器来检测恶意负载和攻击媒介,以便Unit42研究人员能够识别网络上存在的威胁,无论他们是否被发现。Unit42研究人员在最近发现的两个利用命令注入漏洞的活动中仔细研究了四个Mirai变体,揭示了一种熟悉的物联网攻击模式。如上所述,2019年Unit42发现了恶意软件Mirai的八个新版本。虽然这种通用方法允许研究人员观察整个攻击活动链,甚至可以从攻击中获取恶意软件二进制文件,但这种后利用攻击确实留下了它的印记:流量指纹识别。由于相似的代码库和底层实现(如果不相同),相似的服务会产生相似的流量模式。由于一个服务可以存在于多个不同配置的设备中,并且一个特定的设备有多个品牌,实时识别敏感设备变得非常困难。本文简要分析了在攻击期间观察到的两个物联网漏洞和四个Mirai变体,PaloAltoNetworks的下一代防火墙客户受到保护。利用负载包括Mirai变体Unit42最近发现了总共四个Mirai变体,它们利用两个新漏洞作为攻击向量来传播Mirai。成功利用后,将调用wget实用程序从恶意软件基础结构下载shell脚本。然后,shell脚本会下载多个针对不同架构编译的Mirai二进制文件,并逐个执行这些下载的二进制文件。如图1所示,第一个漏洞利用具有NTP服务器设置功能的Web服务中的命令注入漏洞。该服务无法清除HTTP参数NTP_SERVER的值,导致任意命令执行。命令注入漏洞根据从攻击流量中获得的线索,我们将范围缩小到一些已知通过HTTP同步时间的IoT设备,并在一些IoT设备的固件中发现了几个易受攻击的NTP服务器处理示例,但这令人担忧由于部分厂商没有产品不再支持运行上述固件。图2显示了在库模块中发现的一个这样的易受攻击的函数,尽管我们分析的固件具有这种不安全的函数,幸运的是,由于目标统一资源标识符(URI),因此它们不受此特定攻击的影响。在我们继续分析可能通过HTTP进行时间同步的其他物联网设备时,受影响的产品仍在确定中。固件中的漏洞代码片段第一个漏洞的初始利用事件发生在2020年7月23日凌晨05:55:06UTC。攻击(如图1所示)持续了数周,最后一次报告是在2020年9月23日下午15:21:23(UTC)。在撰写本文时,共有42个独特的警报。在野外捕获的第二个漏洞利用提供的上下文比第一个漏洞少,URL和HTTP请求标头不会产生任何有用的信息。显然,HTTP参数pid中缺少参数清理,从而导致命令注入漏洞,如图3所示。我们推测目标服务是某种远程进程管理工具,因为存在类似的参数模式在攻击流量中,它很可能是实验性的,因此使用率很低。网络上的命令注入利用仅12秒内就发生了总共48次独特的攻击事件。该攻击于2020年8月16日上午09:04:39(UTC)开始,并于2020年8月16日上午09:04:51(UTC)结束,这表明该攻击是快速且短暂的。我们按数字对Mirai变体进行分组:1、2、3和4。每个Mirai变体的SHA256可以在下面的“攻击指标”部分找到。表1列出了每个变体的攻击方法和嵌入式解密密钥。传播方法和解密密钥尽管这些变体的来源和配置各不相同,但它们都具有发起DDoS攻击所需的功能。变种4还具有其他三个变种所不具备的传染能力,使其成为更加危险的威胁。下面的表2总结了这个特定的Mirai变体用来感染其他易受攻击主机的漏洞。就像它的前辈一样,这个变体继承了以前变体中也使用过的漏洞。变体4的感染能力总结物联网设备安全仍然是一个问题,物联网安全的一大挑战是不再支持的物联网设备仍在部署和使用。不幸的是,固件中的漏洞不会随固件产品一起消失。本文翻译自:https://unit42.paloaltonetworks.com/iot-vulnerabilities-mirai-payloads/如有转载请注明出处。
