iot设备安全教程(Mozi僵尸网络添加新功能)
iot设备安全教程(Mozi僵尸网络添加新功能)sendcmd 1 DB set PdtMiddleWare 0 Tr069Enable 0sendcmd 1 DB set MgtServer 0 Tr069Enable 1首先是实现特权驻留的功能,对“overlay”文件夹的存在进行特定检查,并检查恶意软件是否包含对文件夹/etc的写权限。在这种情况下,它将尝试利用CVE-2015-1328漏洞。恶意软件成功利用该漏洞后将获得对文件夹的访问权限,然后在文件夹中放置S95Baby.sh脚本文件。该脚本运行可执行文件的副本。如果没有权限则将脚本添加到/etc/rcS.d和/etc/rc.local中。2.中兴通讯设备对于中兴设备,恶意软件会检查“usr/local/ct”文件夹是否存在,这表明设备是中兴路由器设备。然后复制其他实例到usr/local/ct/ctadmin0 中,以提供驻留功能。恶意软件会删除文件/home/httpd/w
引言Mozi是一个P2P僵尸网络,使用类似BitTorrent的网络感染物联网设备,例如网络网关和数字视频记录 (DVR)。近日,微软IoT安全研究人员发现,Mozi僵尸网络正在不断进化,持续攻击IoT设备,目前已经在Netgear、华为、中兴等厂商的网关上实现了驻留。在感染路由器后,僵尸网络可以通过HTTP劫持和DNS欺骗执行中间人攻击(MITM),从而黑掉终端并部署勒索软件。
简况Mozi 僵尸网络的攻击流程如下:
除了众所周知的P2P 和 DDoS 功能外,研究人员还观察到了 Mozi 僵尸网络的几个新功能。
1.实现特权驻留
首先是实现特权驻留的功能,对“overlay”文件夹的存在进行特定检查,并检查恶意软件是否包含对文件夹/etc的写权限。在这种情况下,它将尝试利用CVE-2015-1328漏洞。恶意软件成功利用该漏洞后将获得对文件夹的访问权限,然后在文件夹中放置S95Baby.sh脚本文件。该脚本运行可执行文件的副本。如果没有权限则将脚本添加到/etc/rcS.d和/etc/rc.local中。
2.中兴通讯设备
对于中兴设备,恶意软件会检查“usr/local/ct”文件夹是否存在,这表明设备是中兴路由器设备。然后复制其他实例到usr/local/ct/ctadmin0 中,以提供驻留功能。恶意软件会删除文件/home/httpd/web_shell_cmd.gch,该文件可以用于通过漏洞CVE-2014-2321获取访问权限。随后执行禁用Tr-069及其连接到自动配置服务器 (ACS) 的命令。Tr-069是网络设备远程配置协议,它通常被服务提供商用来配置客户的设备。执行的命令如下:
sendcmd 1 DB set MgtServer 0 Tr069Enable 1
sendcmd 1 DB set PdtMiddleWare 0 Tr069Enable 0
sendcmd 1 DB set MgtServer 0 URL http://127.0.0.1
sendcmd 1 DB set MgtServer 0 UserName notitms
sendcmd 1 DB set MgtServer 0 ConnectionRequestUsername notitms
sendcmd 1 DB set MgtServer 0 PeriodicInformEnable 0
sendcmd 1 DB save
3.华为设备
执行以下命令更改密码并禁用华为路由器设备的管理服务器,还可以防止其他人通过管理服务器访问设备:
cfgtool set /mnt/jffs2/hw_ctree.xml
InternetGatewayDevice.ManagementServer URL http://127.0.0.1
cfgtool set /mnt/jffs2/hw_ctree.xml
InternetGatewayDevice.ManagementServer ConnectionRequestPassword acsMozi
为了提供额外的驻留,恶意软件还会根据需要创建以下文件,并附加一条指令以运行其副本。
/mnt/jffs2/Equip.sh
/mnt/jffs2/wifi.sh
/mnt/jffs2/WifiPerformance.sh
4.防止远程访问
恶意软件会阻止以下 TCP 端口,这些端口用于获取对设备的远程访问:
- 23—远程登录
- 2323—Telnet 备用端口
- 7547—Tr-069 端口
- 35000—Netgear 设备上的 Tr-069 端口
- 50023——华为设备的管理端口
- 58000 - 未知用法
5.脚本注入器
扫描文件系统中的.sh文件,向每个文件附加一行,指示脚本运行恶意软件的副本。
6.流量注入和DNS欺骗
恶意软件可以从分布式哈希表(DHT,distributed hash table)网络接收命令,这是一种用于去中心化通信的P2P协议。命令被接收并存储在一个文件中,其中部分是加密的。该模块仅适用于支持 IPv4 转发的设备。该模块适用于端口 UDP 53 (DNS) 和 TCP 80 (HTTP)。
7.配置命令
除以下命令外,还增加了[hi]命令,表明需要使用 MiTM 模块,以及[set]命令,包含描述如何使用 MiTM 模块的加密部分。
|
命令 |
说明 |
|
[ss] |
Bot role |
|
[ssx] |
enable/disable tag [ss] |
|
[cpu] |
CPU architecture |
|
[cpux] |
enable/disable tag [cpu] |
|
[nd] |
new DHT node |
|
[hp] |
DHT node hash prefix |
|
[atk] |
DDoS attack type |
|
[ver] |
Value in V section in DHT protocol |
|
[sv] |
Update config |
|
[ud] |
Update bot |
|
[dr] |
Download and execute payload from the specified URL |
|
[rn] |
Execute specified command |
|
[dip] |
ip:port to download Mozi bot |
|
[idp] |
report bot |
|
[count] |
URL that used to report bot |
以前记录的Mozi命令
8.DNS欺骗
Mozi 会收到一个非常简单的 DNS 名称列表,结构为<DNS to spoof>:<IP to spoof>。每个DNS请求都会使用欺骗性IP进行响应,这是一种将流量重定向到攻击者基础设施的高效技术。
9.HTTP 会话劫持
MITM功能负责劫持 HTTP 会话,但为了降低恶意软件被发现的机会,并非每个 HTTP 请求都被处理。
总结Mozi使用类似BitTorrent的网络感染物联网设备,利用弱Telnet口令和近10个未修复的IoT设备漏洞来执行DDoS攻击、数据窃取、命令和payload执行。且Mozi僵尸网络正在不断进化,持续攻击IoT设备,并增加了几个新功能。因此,研究人员建议用户使用更新的安全解决方案以保护、检测和响应 Mozi 及其增强功能。
PS:每日更新整理国内外威胁情报快讯,帮助威胁研究人员了解及时跟踪相关威胁事件
关注安恒威胁情报中心
获取一手原创安全分析报告
