ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 编程语言> 文章详细

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

2021-04-16 22:57:45  阅读:245  来源: 互联网

标签:变种 恶意软件 IoT 漏洞 代码执行 Mirai ThinkPHP Miori


Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

TRex 嘶吼专业版

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

对于许多物联网(IoT)用户来说,智能设备中的漏洞一直是个大问题。最臭名昭著的物联网威胁可能是不断完善的Mirai恶意软件,该恶意软件已经在过去的许多***行动中使用,这些***行动会***使用默认或弱凭据的设备。自2016年源代码泄露以来,Mirai的变种和衍生品层出不穷。

我们分析了另一个名为“Miori”的Mirai变种,它通过利用PHP框架(即ThinkPHP)中的远程代码执行(RCE)漏洞传播。该漏洞相对较新,有关它的详细信息仅在12月11日浮出水面,影响5.0.23和5.1.31之前的ThinkPHP版本。有趣的是,我们的智能保护网络最近也显示了与ThinkPHP RCE相关的事件。我们判断恶意行为者滥用ThinkPHP漏洞来获取各自的收益。

除了Miori之外,还发现了几种已知的Mirai变种,如IZ1H9和APEP,使用相同的RCE漏洞来达成其目的。上述变体都通过Telnet使用出厂默认凭证来暴力破解并传播到其他设备。一旦这些Mirai变种中的任何一个感染Linux机器,它将成为僵尸网络的一部分,促进分布式拒绝服务(DDoS)***。

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

探究Miori

Miori只是众多Mirai分支中的一个。Fortinet曾描述过其与另一种称为Shinoa的变种有着惊人的相似之处。我们自己的分析显示,Miori背后的网络犯罪分子使用Thinkpad RCE使存在漏洞的机器从hxxp://144[.]202[.]49[.]126/php下载并执行恶意软件:

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

图1. RCE下载并执行Miori恶意软件

执行后,Miori恶意软件将在控制台中生成:

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

图2. Miori感染设备

它将启动Telnet暴力破解其他IP地址。它还从端口42352(TCP / UDP)侦听来自其C&C服务器的命令。然后发送命令“/bin/busyboxMIORI”以验证目标系统已被感染。
Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

图3. Miori发送命令

我们能够解密嵌入在其二进制文件中的Miori恶意软件配置表,并找到以下值得注意的字符串。我们还列出了恶意软件使用的用户名和密码,其中一些是默认的,还有一些很容易猜测。

· Mirai 变种: Miori
· XOR key: 0x62

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

表1.相关的Miori凭证和字符串

仔细观察还发现了两个其他Mirai变种(IZ1H9和APEP)使用的两个URL。然后我们查看位于两个URL中的二进制文件(x86版本)。两个变体都使用与Mirai和Miori相同的字符串反混淆技术,我们同样能够解密其配置表。

· hxxp://94[.]177[.]226[.]227/bins/
· Mirai 变种: IZ1H9
· XOR key: 0xE0

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

表2.相关的IZ1H9凭据和字符串

· hxxp://cnc[.]arm7plz[.]xyz/bins/
· Mirai 变种: APEP
· XOR key: 0x04

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

表3.相关的APEP凭据,C&C服务器和字符串

值得注意的是,除了通过Telnet进行暴力破解之外,APEP还利用CVE-2017-17215进行传播,其中涉及另一个RCE漏洞并影响华为HG532路由器设备。据报道,该漏洞还涉及Satori和Brickerbot变种。华为此后发布了安全通知,并概述了规避可能的利用的措施。

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

图4.与CVE-2017-17215相关的漏洞利用

Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

总结

Telnet默认密码登录和对连接设备的暴力***并不新鲜。许多用户可能忽略或忘记更改用于访问易受***设备出厂默认密码。此后,Mirai催生了在***中使用默认凭据和漏洞的其他僵尸网络。建议用户更改其设备的默认设置和凭据,以阻止***劫持它们。作为一般规则,智能设备用户应定期将其设备更新为最新版本。这将解决作为威胁的潜在入口点的漏洞,并且还将改进设备的功能。最后,如果设备允许,请启用自动更新功能。

用户还可以采用旨在抵御这些威胁的物联网安全解决方案。趋势科技智能家庭网络™通过此***防御规则保护用户免受此威胁:

· 1135215 WEB ThinkPHP Remote Code Execution
Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播

标签:变种,恶意软件,IoT,漏洞,代码执行,Mirai,ThinkPHP,Miori
来源: https://blog.51cto.com/u_15127538/2712614

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有