记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

格物实验室:目标Avtech摄像头,Mirai僵尸网络新一轮攻击来袭

2020-08-08 17:02
文章目录

执行摘要

近期,通过绿盟威胁捕获系统,我们监测到了Mirai僵尸网络的新一轮攻击行为,它采用已知的漏洞利用手法EDB-ID:40500[1],使用域名panel.devilsden.net作为样本下载服务器,投递大量以UnHAnaAW为前缀的新型恶意样本,攻击Avtech等厂商的视频监控设备。值得一提的是,2020年7月5日攻击者利用漏洞CVE-2020-5902对F5 BIG-IP服务器进行DDoS攻击时,域名panel.devilsden.net也被用来当作恶意样本下载服务器[2]

本文的关键发现如下:

  • 漏洞利用方式主要有两种,一种是未授权的命令注入-Search.cgi,另一种是授权的命令注入- CloudSetup.cgi,这两种方式都能使攻击者用最高权限执行任何命令。
  • 2020年全球暴露在互联网上的Avtech视频监控设备高达384,059个,排名前三的国家依次是泰国,越南和墨西哥,其中暴露资产数量最多的是泰国,共52,185个。
  • 攻击者在2020年6月7日初次被发现,6月下旬开始活跃,7月12日日志数量最多,近期两种漏洞利用行为数量都开始增多。
  • 截止2020年7月13日,共捕获到5个攻击源,它们分别来自4个不同的国家,大多数都有2种漏洞利用行为。
  • 以UnHAnaAW为前缀的新型恶意样本共9种,初次捕获时间都是2020年7月13日,它们都来自于Mirai家族。

一、漏洞利用方式和暴露资产分析

1.1 方式一:未授权的命令注入-Search.cgi

对于视频监控设备来说, Search.cgi可以用来在无需认证的情况下搜索本地网络中的相关摄像头设备。但在较新的固件版本中,Search.cgi提供的cgi_query方法在执行系统命令wget进行HTML请求时,对接受的参数不进行处理和验证。因此攻击者可以利用这个漏洞在没有任何身份验证的情况下使用最高权限执行任何命令。

POC:

1.2 方式二:授权的命令注入- CloudSetup.cgi

支持Avtech云的视频监控设备在通过身份验证后就可以直接通过CloudSetup.cgi进行访问,而对后面参数exefile的内容不做任何检查或白名单过滤。因此攻击者也可以利用这个漏洞使用最高权限执行任何命令。

POC:

关于这两种漏洞利用更详细的分析见:

格物实验室:针对AVTECH视频监控设备的攻击者显著活跃

1.3 暴露资产情况

通过绿盟威胁情报中心(NTI),我们对全球暴露在互联网上的Avtech视频监控设备进行测绘后发现,2020年受影响的暴露资产高达384,059个,如此大的规模值得引起大家重视。

图 1.1 展示了暴露资产国家分布情况,排名前三的国家依次是泰国,越南和墨西哥,其中暴露资产数量最多的是泰国,共52,185个。

图 1.1 暴露资产国家分布情况

二、攻击趋势分析

通过对相关日志数量进行统计分析,可以得到攻击趋势的变化情况。如图 2.1 所示,这些攻击者在2020年6月7日初次被发现,6月下旬开始活跃,7月12日日志数量最多,近期两种漏洞利用行为数量都开始增多。

图 2.1 攻击者活跃情况

三、攻击源分析

截止2020年7月13日,我们共捕获到5个攻击源,它们分别来自4个不同的国家,大多数都有2种漏洞利用行为,详细信息见表 3.1 。

表 3.1 攻击源详细信息

IP地址国家日志数量活跃天数利用漏洞种类185.172.110.178荷兰165252159.203.191.246美国1523522.57.122.96中国5591245.148.10.39荷兰38552104.244.79.242卢森堡6311

从目的端口维度对这些攻击源进行分析,图 3.2 展示了攻击日志的目的端口数量Top10,被攻击最多的目的端口是49153。

图 3.2 攻击源的目的端口数Top10

四、IOC

样本文件:

文件名SHA256UnHAnaAW.arm706222bde5cc21bfe7d906fc97e4055d6308e39429dd91ce01bdb5f85d160f32fUnHAnaAW.m68kf2b912e2e3fd7e469b90d374d90d0446915a0beadb011bb8ac65c48e27647f07UnHAnaAW.arm6371bf5ae50329b6ec70af2b1c652a055ed0ae8e9135d140c2d93b24fae81344fUnHAnaAW.mpsl7e885b3aac5a8899f0dc2e700403032a65e428ded336275161e1e2c2277ba5a9UnHAnaAW.mips9188915287e3bc205e1b0d2322fbd869e0edac4c022e2228d283c78775d3180aUnHAnaAW.sh4300829b16f75f336e5d947ed56bba22060382bf2bb975c367974311f291f3f59UnHAnaAW.arm49d6465be48f4cb305d7e5dddbda08de5eeb3b0d21957679f4e095073b74c04e0UnHAnaAW.ppc564e20b9d0e430969130e6fdbe0da2593995f629fb8e456cf79149c420f3702fUnHAnaAW.arm5ae0b58a817b3a628ff767f607de0161706ac174bd90471d2c9b61ef5feece027UnHAnaAW.x86979092045d17bea463d5683a34d9a9265af053a9b73005629f49948f1ba27030

恶意样本下载服务器:185.172.110.178

域名:panel.devilsden.net

参考文献

https://www.exploit-db.com/exploits/40500

Over 3,000 F5 BIG-IP endpoints vulnerable to CVE-2020-5902

https://mp.weixin.qq.com/s/gCF8-pQKItZfh_aVPHXDzA


知识来源: blog.nsfocus.net/avtech-botnet-0724/
想收藏或者和大家分享这篇好文章→复制链接地址

“格物实验室:目标Avtech摄像头,Mirai僵尸网络新一轮攻击来袭”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

随机推荐

标签云