海康威视因自身漏洞被黑客利用而被攻击

近日，海康威视又因自身漏洞被黑客利用而被攻击。攻击者可以利用该漏洞向Web服务器发送一些带有恶意命令的消息，从而发起命令注入攻击。9月18日，研究人员披露海康威视多款产品遭到相关远程代码执行漏洞攻击。当时海康威视部分产品的web模块存在命令注入漏洞。由于输入参数的验证不充分，攻击者可以向受影响的设备发送带有恶意命令的消息。成功利用该漏洞可导致命令执行，该漏洞很快被命名为CVE-2021-36260，并在研究人员披露该漏洞的当天发布了该漏洞的补丁。不久之后，FortiGuardLabs开发了一个IPS签名来解决这个问题。在我们的分析过程中，我们观察到大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。一个有效载荷特别引起了我们的注意。它试图删除表现出感染行为并执行Moobot的下载程序，Moobot是一个基于Mirai的僵尸网络家族，自成立以来一直处于活跃状态，能够进行零日攻击。在本文中，我们将详细介绍攻击者如何通过此漏洞传播此有效载荷。漏洞CVE-2021-36260的发展和传播源于输入验证不充分，允许未经身份验证的用户注入恶意内容。TrafficExploitingCVE-2021-36260我们收集了许多利用此漏洞的有效载荷，并最终找到了一个下载器。跟踪流量捕获后，完整的有效负载如下所示：来自CVE-2021-36260的有效负载首先，由于最终的Moobot将保存为“macHelper”，它首先尝试删除任何已命名为“macHelper”的文件。然后它将代码传回“下载器”，这是一个很小的??ELF32位LSBARM文件。下载器下载完成后，执行Moobot，参数为“hikivision”。最后，它更改了常用命令，例如“重启”，以防止管理员在受影响的设备上调用重启。下载器攻击者利用该漏洞释放下载器（SHA256：1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F）。它只做一件事——下载僵尸网络。它使用“/arm5”URI表单服务器199.195.250[.]233:80下载恶意软件，如果下载过程成功则打印“RAY”。反汇编代码如下图所示：Downloader通过IP地址，我们不仅可以获取到不同架构的moobot变种，还可以从“/h/”目录下获取历史恶意软件。攻击者利用的Moobot下载器IP示例列表根据我们的分析，前一阶段下载的恶意软件（SHA256：38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557）是基于Mirai的Moobot。它最明显的特征是它包含数据字符串“w5q6he3dbrsgmclkiu4to18npavj702f”，在“rand_alphastr”函数中使用。它用于创建具有不同目的的随机字母数字字符串，例如用于设置进程名称或生成攻击数据。Moobot的字母数字字符串函数它也有一些来自另一个Mirai变种僵尸网络Satori的元素。它包含一个以受害者的物联网设备为目标的“下载器”，并在执行后打印字符串“9xsspnvgc8aj5pi7m28p”。该变体还使用进程名称“/usr/sbin*”进行自我传播，因此在删除原始文件“macHelper”时它看起来像一个正常进程。Satori僵尸网络是2016年10月在线发布的MiraiIoT恶意软件的新变种，其创建者是一名名为“NexusZeta”的黑客。僵尸网络的快速扩张能力不亚于Mirai僵尸网络。短短12小时，超过28万个不同IP被成功激活，影响了数十万台路由器设备。Moobot的代码片段由于它基于Mirai，僵尸网络还包含一个数据部分来存储其配置。明文配置与0x22异或后即可解码：解码后的包含配置的数据从配置中获取到C2服务器（life.zerobytes[.]cc），开始发送心跳（\x00\x00）包，然后等待来自C2服务器的下一个控制命令的消息。受害系统一旦收到命令，就会对特定的IP地址和端口号发起DDoS攻击。DDoS攻击流量示例如下：Syn-FloodSyn-Flood攻击是目前网络上最常见的DDoS攻击，也是最经典的拒绝服务攻击。如果该端口发送大量伪造源地址的攻击报文，可能导致目标服务器中的半开连接队列被占满，从而导致其他合法用户无法访问。DDoS攻击命令为24字节，详细信息如下图所示，包括Flood攻击方式和目标IP/端口。除了SYNFlood，C2服务器还有其他的攻击命令，如UDPFlood0x06、ACKFlood0x04、ACK+PUSHFlood0x05。从试图感染海康威视产品到部署Moobot的完整攻击场景如下图所示：经跟踪分析，这是一个名为“tianrian”的A电报频道，提供DDoS服务。如下图所示，他们在登录屏幕中使用了特定的字符串“openmeokbye”。该频道创建于2021年6月11日，并于8月开始服务。从聊天频道我们可以看到服务还在更新中。用户应始终注意DDoS攻击并为易受攻击的设备应用补丁。从受感染设备捕获的流量电报通道摘要海康威视是全球最大的安全产品、视频处理技术和视频分析技术供应商之一。CVE-2021-36260是一个严重漏洞，使海康威视产品成为Moobot的目标。本文翻译自：https://www.fortinet.com/blog/threat-research/mirai-based-botnet-moobot-targets-hikvision-vulnerability