?？低曇蜃陨砺┒幢缓诳屠枚馐芄?/h1>

最近?？低曈忠淮我蜃陨淼穆┒幢缓诳屠枚馐芄?。攻擊者可以利用這個漏洞在web服務器上發(fā)送一些帶有惡意命令的消息，從而發(fā)起命令注入攻擊。

祿勸ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

9 月 18 日，研究人員就披露了海康威視的各種產(chǎn)品被有關遠程代碼執(zhí)行漏洞攻擊。當時海康威視部分產(chǎn)品中的web模塊存在一個命令注入漏洞，由于對輸入?yún)?shù)校驗不充分，攻擊者可以發(fā)送帶有惡意命令的報文到受影響設備，成功利用此漏洞可以導致命令執(zhí)行，該漏洞很快被命名為 CVE-2021-36260，并在研究人員披露的同一天發(fā)布了針對該漏洞的補丁。不久之后，F(xiàn)ortiGuard Labs 開發(fā)了一個 IPS 簽名來解決這個問題。

在分析過程中，我們觀察到大量有效載荷試圖利用此漏洞來探測設備狀態(tài)或從受害者那里提取敏感數(shù)據(jù)。特別是一種有效載荷引起了我們的注意。它試圖刪除一個表現(xiàn)出感染行為并執(zhí)行 Moobot 的下載程序，Moobot是一基于Mirai開發(fā)的僵尸網(wǎng)絡家族，自從其出現(xiàn)就一直很活躍，并且擁有零日漏洞利用的能力。

我們會在本文詳細介紹攻擊者如何通過該漏洞傳播此有效載荷。

漏洞的開發(fā)和傳播

CVE-2021-36260 源于輸入驗證不足，允許未經(jīng)身份驗證的用戶將惡意內(nèi)容注入。

利用 CVE-2021-36260 的流量

我們收集了許多利用此漏洞的有效載荷，并最終找到了一個下載程序。跟蹤流量捕獲后，完整的載荷如下圖所示：

來自 CVE-2021-36260 的有效載荷

首先，因為最終的 Moobot 將被保存為“macHelper”，它首先嘗試刪除任何已經(jīng)命名為“macHelper”的文件。然后它將代碼回傳給“downloader”，這是一個很小的ELF 32位LSB ARM文件。下載程序完成下載后，執(zhí)行參數(shù)為“hikivision”的Moobot。最后，它會更改常用命令，例如“重啟”，以防止管理員在受影響的設備上調(diào)用重啟。

下載程序

攻擊者利用該漏洞釋放下載程序(SHA256：1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F)。它的任務就一個——下載僵尸網(wǎng)絡。它使用“/arm5”URI 表單服務器 199.195.250[.]233:80 下載惡意軟件，如果下載過程成功，則打印“RAY”。反匯編代碼如下圖所示：

下載程序

通過 IP 地址，我們不僅可以獲取不同架構(gòu)的 moobot 變體，還可以從目錄“/h/”中獲取歷史上出現(xiàn)的惡意軟件。

來自下載程序 IP 的示例列表

Moobot被攻擊者利用

根據(jù)我們的分析，上一階段下載的惡意軟件(SHA256：38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557)是基于Mirai的Moobot。它最明顯的特點是包含數(shù)據(jù)串“w5q6he3dbrsgmclkiu4to18npavj702f”，被用于“rand_alphastr”函數(shù)。它用于創(chuàng)建具有不同目的的隨機字母數(shù)字字符串，例如用于設置進程名稱或生成用于攻擊的數(shù)據(jù)。

Moobot 的字母數(shù)字字符串函數(shù)

它還有一些來自 Satori 的元素，這是另一個 Mirai 變體僵尸網(wǎng)絡。它包含一個針對受害者物聯(lián)網(wǎng)設備的“下載程序”，并在執(zhí)行后打印“9xsspnvgc8aj5pi7m28p”字符串。該變體還使用進程名稱“/usr/sbin*”自我分散，以便在刪除原始文件“macHelper”時看起來像一個正常的進程。Satori僵尸網(wǎng)絡的創(chuàng)建者是一位名為“Nexus Zeta”的黑客，該僵尸網(wǎng)絡是2016年10月在線發(fā)布的Mirai物聯(lián)網(wǎng)惡意軟件的一個新變體。該僵尸網(wǎng)絡迅速擴張的能力絲毫不亞于Mirai僵尸網(wǎng)絡，短短12個小時內(nèi)就成功激活了超過28萬個不同的IP，影響了數(shù)十萬臺路由器設備。

Moobot 的代碼片段

由于它是基于Mirai，僵尸網(wǎng)絡也包含一個數(shù)據(jù)部分來存儲其配置。明文配置可以在與 0x22 異或后解碼：

包含配置的解碼數(shù)據(jù)

從配置中獲取 C2 服務器 (life.zerobytes[.]cc) 后，它開始發(fā)送heartbeat (\x00\x00) 數(shù)據(jù)包，然后等待來自 C2 服務器的下一個控制命令。一旦受害系統(tǒng)收到命令，它就會對特定的 IP 地址和端口號發(fā)起 DDoS 攻擊。 DDoS 攻擊流量的一個示例如下所示：

Syn-Flood

Syn-Flood攻擊是當前網(wǎng)絡上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務攻擊，它利用了TCP協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡服務所在端口發(fā)送大量的偽造源地址的攻擊報文，就可能造成目標服務器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。

DDoS 攻擊命令為 24 字節(jié)，，詳細信息如下圖所示，其中包括Flood攻擊方法和目標 IP/端口。除了SYN Flood，C2服務器還有其他攻擊命令，比如UDP Flood 0x06，ACK Flood 0x04，ACK+PUSH Flood 0x05。

命令

從嘗試感染?？低暜a(chǎn)品到部署Moobot的完整攻擊場景下圖所示：

攻擊場景

我們還注意到在下圖中一個基于設備的數(shù)據(jù)包捕獲的DDoS服務提供商，經(jīng)過追蹤分析，這是一個名為“tianrian”的telegram頻道，該頻道提供 DDoS 服務。如下圖所示，他們在登錄界面中使用特定字符串“openmeokbye”。該頻道創(chuàng)建于 2021 年 6 月 11 日，并于 8 月開始提供服務。從聊天頻道我們可以看到服務還在更新中。用戶應該始終注意DDoS攻擊，并對易受攻擊的設備應用補丁。

從受感染設備捕獲的流量

telegram頻道

總結(jié)

?？低暿侨蜃畲蟮陌卜喇a(chǎn)品及視頻處理技術和視頻分析技術供應商之一。 CVE-2021-36260 是一個嚴重漏洞，它使海康威視產(chǎn)品成為 Moobot 的目標。

本文翻譯自：

https://www.fortinet.com/blog/threat-research/mirai-based-botnet-moobot-targets-hikvision-vulnerability

分享標題：?？低曇蜃陨砺┒幢缓诳屠枚馐芄?
文章路徑：http://uogjgqi.cn/article/djcpips.html

掃二維碼與項目經(jīng)理溝通

我們在微信上24小時期待你的聲音

解答本文疑問/技術咨詢/運營咨詢/技術建議/互聯(lián)網(wǎng)交流

其他資訊

• 域名解析后網(wǎng)站為什么還不能訪問？（管理員我今天下午換了一個域名結(jié)果網(wǎng)站打不開了）
• Linux系統(tǒng)如何正確加載光驅(qū)？(linux加載光驅(qū))
• 深入探究DoS攻擊與DDoS攻擊的區(qū)別
• c語言怎么得到數(shù)組長度
• 完成一個app開發(fā)要多久?（完成一個app開發(fā)要多久才能完成)