freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

两起僵尸网络Mirai样本分析
2019-07-11 09:00:19

2019年6月26日蜜罐系统监控到两起Mirai的物联网蠕虫活动情况,自2017年11月23日Check Point研究人员发现华为家用路由器HG532存在0day漏洞(CVE-2017-17215),可以远程执行任意代码,Mirai蠕虫病毒就利用该漏洞进行大肆传播,本文会结合蜜罐捕获的攻击证据对该蠕虫进行技术分析,重点分析该蠕虫是如何利用该漏洞进行传播的。整个攻击流程如下:

2.png

一、样本介绍

两起样本基本信息,样本一的信息如下:

样本 MD5 内容
ssh.sh aa82ebdab1ca5db01e8392456a66d173 该脚本下载蠕虫病毒
kowai.arm5 54206703b7da43eb31103d2260804ffa arm平台蠕虫病毒
kowai.arm6 417c52650feb2bce70966c0b6a29e9f9 arm平台蠕虫病毒
kowai.arm7 6a688f8018f1c5aa5d2b762ce45d5f08 arm平台蠕虫病毒
kowai.m68k aefed58737b6780078d5b8d9b95a4a6e m68k平台蠕虫病毒
kowai.mips 4c7d72110b21c4d96e1a5dd1dd3d8162 mips平台蠕虫病毒
kowai.mpsl 50caf859e336928cb03867b6a1fb307d mpsl平台蠕虫病毒
kowai.ppc 1b3313b9d2732695a54f922d617919b8 mpsl平台蠕虫病毒
kowai.sh4 0b51a869b580af0105583786edcf9d5a sh4平台蠕虫病毒
kowai.x86 289f45cfb35f880e2a57638019376997 x86平台蠕虫病毒

样本二的信息如下:

样本 MD5 内容
sh a7efb85b73dcebb71fe3013123e5d348 该脚本下载挖矿程序包
maui.arm 167615d6c36a8ddecd80835b8f9d0cc0 arm平台蠕虫病毒
maui.arm5 b5b0473bc3eaf74bffd851537f516adb arm平台蠕虫病毒
maui.arm6 43ed80863580144352b5d7e184806313 arm平台蠕虫病毒
maui.i586 ca8c67fa2735246346def750de08bc0f i586平台蠕虫病毒
maui.mips 8a3eb31a6d87c368e3858d6ab032fa5d mips平台蠕虫病毒
maui.mpsl 474dad25f577df9e8c20a6a9b5ac288f mpsl平台蠕虫病毒

二、详细分析

捕获到两个脚本,http://host.minekraft.club/bins/sh脚本如下,主要作用是下载arm、i586、mips、mpsl各种IoT平台的Mirai蠕虫。

3.png

http://147.135.116.65/ssh.sh对应的脚本如下,主要作用是下载arm、x86、i586、mips、mpsl、ppc各种IoT平台的Mirai蠕虫,并伪装SSH进行运行。

4.png

攻击服务器包含了很多相关的文件,各个操作系统平台上的,不同版本的蠕虫文件。

5.png

该蠕虫病毒的工作原理非常简单,主要意图是伪造UDP和TCP对目标发起泛洪攻击,在此,选取其中的一个蠕虫样本kowai.arm5进行分析,通过IDA逆向分析发现,该样本在传播和攻击过程中用了3个PayLoad,丢失正对路由器进行攻击,下面相关的POC:

华为 HG532系列路由器远程命令执行漏洞(CVE-2017-17215),该漏洞对应的端口号是52869,对应的POC:

6.png

漏洞分析:

7.png

使用了一个古老的漏洞(CVE-2014-8361),该漏洞针对的是Realtek SDK中的UPnP服务(52869端口)。由于该漏洞暴露的时间比较旧,下图是样本中的POC。

8.png

该样本依然保留着弱口令爆破,向随机地址的23端口发送telnet数据包,尝试进行弱密码爆破。

9.png

ScanMon平台显示端口23的扫描流量排名第一,远超22端口。

10.png

发现攻击源占据前几位的都来自美国。

11.png

此外,该样本会随机的扫描端口37215和52869,下面是通过wireshark抓包的流量中提取的扫描信息。

12.png

13.png

查看whois信息,在ipip.net显示该攻击来自美国弗吉尼亚州阿什本。

14.png

三、相关IOC

MD5

aa82ebdab1ca5db01e8392456a66d173

54206703b7da43eb31103d2260804ffa

417c52650feb2bce70966c0b6a29e9f9

6a688f8018f1c5aa5d2b762ce45d5f08

aefed58737b6780078d5b8d9b95a4a6e

4c7d72110b21c4d96e1a5dd1dd3d8162

50caf859e336928cb03867b6a1fb307d

1b3313b9d2732695a54f922d617919b8

0b51a869b580af0105583786edcf9d5a

289f45cfb35f880e2a57638019376997

a7efb85b73dcebb71fe3013123e5d348

167615d6c36a8ddecd80835b8f9d0cc0

b5b0473bc3eaf74bffd851537f516adb

43ed80863580144352b5d7e184806313

ca8c67fa2735246346def750de08bc0f

8a3eb31a6d87c368e3858d6ab032fa5d

474dad25f577df9e8c20a6a9b5ac288f

C2

147.135.116.65:80

URL

http://147.135.116.65/bins/kowai.x86

http://147.135.116.65/bins/kowai.mips

http://147.135.116.65/bins/kowai.mpsl

http://147.135.116.65/bins/kowai.arm4

http://147.135.116.65/bins/kowai.arm5

http://147.135.116.65/bins/kowai.arm6

http://147.135.116.65/bins/kowai.arm7

http://147.135.116.65/bins/kowai.ppc

http://147.135.116.65/bins/kowai.m68k

http://147.135.116.65/bins/kowai.sh4

http://host.minekraft.club/bins/sh

http://host.minekraft.club/bins/maui.arm

http://host.minekraft.club/bins/maui.arm5

http://host.minekraft.club/bins/maui.arm6

http://host.minekraft.club/bins/maui.i586

http://host.minekraft.club/bins/maui.mips

http://host.minekraft.club/bins/maui.mpsl

*本文原创作者:Sampson,本文属于FreeBuf原创奖励计划,未经许可禁止转载

# 僵尸网络 # Mirai # 样本分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者