恶意软件托管域分布多个Mirai变种,影响腾达、华为等公司遥测出现相当大的峰值,进一步调查发现恶意软件托管域Cyber??ium,其中发现了多个Mirai变种,例如Moobot和Satori。分析3月底,AT&TAlienLabs观察到Tenda远程代码执行(RCE)漏洞CVE-2020-10987的利用尝试激增。该漏洞不常被Web扫描仪使用,并且在过去六个月中很少检测到。该漏洞可以通过请求的URL来识别,其中包括“setUsbUnload”和分配给易受攻击的参数“deviceName”的有效负载。此有效负载包含将执行路径更改为临时位置、从恶意软件托管页面获取文件、提供执行权限并执行它的指令。图1.BinaryEdgeSensor检测漏洞扫描当时,攻击者对Tenda路由器的漏洞扫描只持续了一天,但对其余设备的扫描活动却持续了数周。设备涉及的漏洞如下:80和8080端口:AxisSSIRCE。端口34567:DVR扫描仪尝试使用默认凭据的Sofia主视频应用程序。37215端口:华为家用路由器RCE漏洞(CVE-2017-17215)。端口52869:RealtekSDKMiniigdUPnPSOAP命令执行(CVE-2014-8361)。所有恶意软件变体都源自同一个恶意软件托管页面dns.cyberium[.]cc,在调查该域时,发现了多个活动,最早可追溯到2020年5月。大多数攻击持续了一周,每次活动使用Cyber??ium域下的不同子域页面,终止攻击后,无法解析相关子域。图2.Cyber??ium[.]cc的热图在破坏设备后,恶意代码连接到Cyber??ium域以检索用作下载程序的bash脚本。这个脚本和之前看到的Mirai变体的下载器非常相似,旨在下载恶意软件的后期阶段,如下图所示,脚本下载一个文件名列表(与不同的CPU架构相关联),执行每个filename,通过crontab保存它,最后删除它自己。图3.在Tenda下载器脚本在域上可用期间,至少发现了三种不同的Mirai变体:Moobot、Satori/Fbot以及与这些僵尸网络无关的其他样本。该域的特点之一是它在Mirai变体之间来回切换,即使在相同的文件名下,相同的URL也可能在托管Satori一周后托管Moobot。MoobotMoobot僵尸网??络于2020年4月首次被发现,同年10月出现新变种,主要追逐暴露和易受攻击的DockersAPI,将其编入DDoS僵尸网络。与其他Mirai变体不同,从Moobot获得的样本被加密,以试图逃避基于字符串的检测、对所用漏洞的静态分析或入侵后活动。Moobot有一个要避免的硬编码IP地址列表,例如:国防部、IANAIP、通用电气等。图4.Moobot的IP扫描限制恶意软件编写者似乎非常清楚他们的目标受害者是谁,因此恶意软件将尝试使用prctl隐藏其进程名称。隐藏的进程名称是“/var/Sofia”,这是目标设备上视频应用程序的名称。图5.成功感染Moobot进程藏身处后,有效载荷会尝试在端口12028上查询硬编码的C2以获取C2列表。Cyber??ium域目前已关闭,无法分析这些通信。Satori/FbotSatori僵尸网络,也称为Fbot,是另一个基于Mirai变体的僵尸网络。Moobot和Satori样本之间有很多相似之处,因为它们都来自相同的Mirai源代码,例如它们的下载方式、物联网设备的漏洞扫描、执行后打印的字符串、隐藏在(/var/Sofia)进程名称后面ETC。在观察到的Satori样本中,代码未加密,无需任何额外操作即可读取更多字符串——这与经过编码以减少纯文本字符串数量的Moobot样本不同。其他样本这些样本似乎是Moobot和Satori样本的混合体,它们的特征是随机组合的,大多数看起来像没有编码的Moobot样本或没有硬编码域的Satori。建议措施保持所有IoT设备更新,并特别注意解决提到的设备或CVE。监控网络流量以查找已知的传入漏洞。监控流向Cyber??ium或ripper域的出口和入口网络流量。定期执行进程审计和统计,查找可能隐藏僵尸网络的已知恶意进程名称。本文翻译自:https://cybersecurity.att.com/blogs/labs-research/malware-hosting-domain-cyberium-fanning-out-mirai-variants如有转载请注明出处。
