回归最本质的信息安全

Mirai物联网僵尸攻击竟然可以在Linux平台和Windows平台之间交叉传播

2017年2月26日发布

10,594
1
0

导语:近日,卡巴斯基实验室通过监测,发现一个全新的物联网木马正在通过Windows设备传播。

u=289510854,1210532682&fm=23&gp=0.jpg

近日,卡巴斯基实验室通过监测,发现一个全新的物联网木马正在通过Windows设备传播。最早卡巴斯基实验室的安全研究人员观察到这个推送Mirai下载器的扩展器变体是在2017年1月,但其实这个Windows木马以前就有了,只不过通过Windows进行传播的途径也非常有限。不过,如果Mirai木马强制性的远程实施Telnet命令连接,就会从Windows主机传播到Linux主机,尽管这个传播方法目前还没有经过证实,但有一点可以确认就是通过Windows平台,可以对以前不可传播的僵尸攻击资源进行快平台传播。特别是对于Windows上运行的易受攻击的SQL服务器来说,因为它们既连接互联网,又可以访问连接基于IP的摄像机,DVR,媒体软件和其他内部设备的专用网络。

所以卡巴斯基实验室的安全研究人员正是通过SQL服务器观察到一个以前就非常活跃的Mirai木马家族,现在正通过非常有限的传播途径来将木马嵌入到Linux系统。这个Mirai木马家族使用了多个Web资源和服务器,分阶段传播自己的木马代码并添加新的Mirai木马。不过这些服务器准确记录了Mirai木马的具体传播时间表。

无论如何,Mirai木马在Linux平台和Windows平台之间进行交叉传播的出现,让安全研究人员已经高度紧张起来了。就像Zeus银行木马的源代码被公开之后,很快各种系统都被其各种变异体所攻击,而Mirai源代码在去年10月份被公开之后,其各种变异版本也会像Zeus银行木马那样在未来几年给互联网基础设施带来沉重的灾难,而在Linux平台和Windows平台之间的交叉传播则仅仅是个开始。

不过,值得注意的是,2016年Mirai的肆虐却有着其是独一无二的理由,归纳起来,有两个原因:

1.大规模物联网设备(主要是DVR,闭路电视摄像机和家庭路由器)的广泛使用,
2. 史上最大流量的DDOS攻击出现。

新出现的Windows Spreader 代码的威力有多大?

Windows Spreader ——这个Windows 木马代码比Mirai代码库更丰富,更强大,具有大量的扩展技术,包括通过telnet,SSH,WMI,SQL注入和IPC的暴力入侵。被这个木马代码利用的设备包括:

1.基于IP的摄像机
2.DVR
3.各种媒体设备
4.各种类似于Raspberry and Banana Pi的平台

通过分析,Windows Spreader 代码显然是一个经过精心设计的木马,它包含有多个欺骗性的字符串,而且这个代码已经在Windows中文系统上进行了编译,这些木马的主机服务器在台湾被发现,滥用来自中国公司的被盗代码签名证书以及相关其他功能。

通过增加汉语的代码,可以访问被盗的代码签名证书,能够从多个攻击项目中分离出win32攻击代码,对全世界的MSSQL服务器造成威胁,并且能够将代码移植到一个有效的跨平台攻击中,比如Linux平台。

下面是对其中一个代码签名证书的IP地理位置(fb7b79e9337565965303c159f399f41b)的分析,它经常被易受攻击的MSSQL和MySQL服务器下载。MSSQL和MySQL服务器是由两个网站主机之一提供,两个主机都位于台湾:

http://down.mykings[.]pw:8888/ups.rar
http://up.mykings[.]pw:8888/ups.rar

下载时,将其复制到具有多个文件名之一的磁盘执行:

cab.exe, ms.exe, cftmon.exe

显然,对技术解决方案投入大量投资的新兴市场受到这一因素的影响最大。

new_risks_mirai_en_1.png

新的Mirai木马的组成

新的Mirai木马代码和各种攻击组件已经从其他攻击事件和以前的木马来源中获得。在运行时,代码的传播会经过一系列阶段,从扫描和攻击在线资源到下载附加配置文件,获取进一步的指令,以及下载和运行额外的可执行代码。同样,大多数所有这些组件,技术和功能都是几年前所用过的。

Windows Spreader的感染过程,即c:\ windows \ system \ msinfo.exe(5707f1e71da33a1ab9fe2796dbe3fc74)将DNS设置更改为114.114.114.114,8.8.8.8。

下载并执行

from hxxp://up.mykings [。] pw:8888 / update.txt(02b0021e6cd5f82b8340ad37edc742a0)
hxxp://up.mykings [。] pw:8888 / ver.txt(bf3b211fa17a0eb4ca5dcdee4e0d1256)

木马下载

hxxp://img1.timeface [。] cn / times / b27590a4b89d31dc0210c3158b82c175.jpg(b27590a4b89d31dc0210c3158b82c175)到c:\ windows \ system \ msinfo.exe(5707f1e71da33a1ab9fe2796dbe3fc74)

使用命令行参数“-create”“-run”

下载并执行hxxp://down.mykings [。] pw:8888 / my1.html(64f0f4b45626e855b92a4764de62411b)

此文件是一个命令shell脚本,它注册各种文件,包括数据库连接库,并清除系统上不需要的自身跟踪。

http://up.mykings [。] pw:8888 / ups.rar(10164584800228de0003a37be3a61c4d)

它将自身复制到任务目录,并将其自身安装为预定执行。

c:\ windows \ system \ my1.bat
c:\ windows \ tasks \ my1.job
c:\ windows \ system \ upslist.txt
c:\ windows \ system32 \ cmd.exe / c sc start xWinWpdSrv&ping 127.0.0.1 -n 6 && del c:\ windows \ system \ msinfo.exe >> NUL
c:\ program files \ kugou2010 \ ms.exe(10164584800228de0003a37be3a61c4d)

键盘记录木马分析

接下来对木马的流量进行嗅探,研究人员发现木马会将用户的所有浏览信息——包括用户的键盘记录信息,浏览的图像,浏览器中存储的密码。下面嗅探到的一位用户在2016年10月30号浏览图像的信息,并嵌入木马代码ad0496f544762a95af11f9314e434e94。

new_risks_mirai_en_2.png

模块化的木马代码

这个Mirai木马变种的SQL注入和暴力入侵技术都是从一个叫做“Cracker”库编译而来的。这个库允许为各种攻击的提供了模块化的任务。根据从可用c2下载的加密文件来指示木马的各个任务。

[Cracker:MS] [Cracker:MS] [Cracker:RDP] [Cracker:SSH]

Windows 木马的源代码似乎是在C ++中以相当模块化的方式开发的,因为该功能在源代码库中被分解为:

CheckUpdate.cpp
Cracker_Inline.cpp
Cracker_Standalone.cpp
cService.cpp
CThreadPool.cpp
Db_Mysql.cpp
Dispatcher.cpp
IpFetcher.cpp
libtelnet.cpp
Logger_Stdout.cpp
Scanner_Tcp_Connect.cpp
Scanner_Tcp_Raw.cpp
ServerAgent.cpp
Task_Crack_Ipc.cpp
Task_Crack_Mssql.cpp
Task_Crack_Mysql.cpp
Task_Crack_Rdp.cpp
Task_Crack_Ssh.cpp
Task_Crack_Telnet.cpp
Task_Crack_Wmi.cpp
Task_Scan.cpp
WPD.cpp
catdbsvc.cpp
catadnew.cpp
catdbcli.cpp
waitsvc.cpp
errlog.cpp

代码签名证书

代码签名证书似乎是从中国的制造商哪里盗取的,不过已经过了有效期。

1487758198550401.png

文件对象的扫描

Trojan.Win32.SelfDel.ehlq
Trojan.Win32.Agent.ikad
Trojan.Win32.Agentb.btlt
Trojan.Win32.Agentb.budb
Trojan.Win32.Zapchast.ajbs
Trojan.BAT.Starter.hj
Trojan-PSW.Win32.Agent.lsmj
Trojan-Downloader.Win32.Agent.hesn
Trojan-Downloader.Win32.Agent.silgjn
HEUR:Trojan-Downloader.Linux.Gafgyt.b
Backdoor.Win32.Agent.dpeu
DangerousPattern.Multi.Generic (UDS)

文件对象的分析

c2和url

http://dwon.f321y[.]com:280/mysql.exe
https://down2.b5w91[.]com:8443
http://down.f4321y[.]com:8888/kill.html
http://down.f4321y[.]com:8888/test.html
http://down.f4321y[.]com:8888/ups.rar
http://67.229.225.20
http://down.f4321y[.]com
http://up.f4321y[.]com
http://up.f4321y[.]com:8888/ver.txt
http://up.f4321y[.]com:8888/ups.rar
http://up.f4321y[.]com:8888/update.txt
http://up.f4321y[.]com:8888/wpdmd5.txt
http://up.f4321y[.]com:8888/wpd.dat
http://down.F4321Y[.]com:8888/my1.html
http://up.mykings[.]pw:8888/ver.txt
http://up.mykings[.]pw:8888/ups.rar
http://up.mykings[.]pw:8888/update.txt
http://up.mykings[.]pw:8888/wpdmd5.txt
http://up.mykings[.]pw:8888/wpd.dat
http://down.mykings[.]pw:8888/my1.html
http://down.mykings[.]pw:8888/ups.rar
http://down.mykings[.]pw:8888/item.dat
http://js.f4321y[.]com:280/v.sct
http://down.b591[.]com:8888/ups.exe
http://down.b591[.]com:8888/ups.rar
http://down2.b591[.]com:8888/ups.rar
http://down2.b591[.]com:8888/wpd.dat
http://down2.b591[.]com:8888/wpdmd5.txt
http://down2.b591[.]com:8888/ver.txt
http://up.f4321y[.]com:8888/ups.rar
http://down.b591[.]com:8888/test.html
http://dwon.kill1234[.]com:280/cao.exe
http://down.b591[.]com:8888/ups.rar
http://down.b591[.]com:8888/ups.exe
http://down.b591[.]com:8888/cab.rar
http://down.b591[.]com:8888/cacls.rar
http://down.b591[.]com:8888/kill.html

签名证书

Xi’ an JingTech electronic Technology Co.,LTD
‎sn: 65 f9 b9 66 60 ad 34 c1 c1 fe f2 97 26 6a 1b 36
Partner Tech(Shanghai)Co.,Ltd
sn: 26 59 63 33 50 73 23 10 40 17 81 35 53 05 97 60 39 76 89

Md5

e7761db0f63bc09cf5e4193fd6926c5e
c88ece9a379f4a714afaf5b8615fc66c
91a12a4cf437589ba70b1687f5acad19
a3c09c2c3216a3a24dce18fd60a5ffc2
297d1980ce171ddaeb7002bc020fe6b6
5707f1e71da33a1ab9fe2796dbe3fc74
a4c7eb57bb7192a226ac0fb6a80f2164
64f0f4b45626e855b92a4764de62411b
02b0021e6cd5f82b8340ad37edc742a0
10164584800228de0003a37be3a61c4d
fd7f188b853d5eef3760228159698fd8
cbe2648663ff1d548e036cbe4351be39
fb7b79e9337565965303c159f399f41b
eb814d4e8473e75dcbb4b6c5ab1fa95b
04eb90800dff297e74ba7b81630eb5f7
508f53df8840f40296434dfb36087a17
93ccd8225c8695cade5535726b0dd0b6
62270a12707a4dcf1865ba766aeda9bc
43e7580e15152b67112d3dad71c247ec
0779a417e2bc6bfac28f4fb79293ec34
ac8d3581841b8c924a76e7e0d5fced8d
cf1ba0472eed104bdf03a1712b3b8e3d
4eee4cd06367b9eac405870ea2fd2094
21d291a8027e6de5095f033d594685d0
097d32a1dc4f8ca19a255c401c5ab2b6
5950dfc2f350587a7e88fa012b3f8d92
2d411f5f92984a95d4c93c5873d9ae00
9a83639881c1a707d8bbd70f871004a0
5cae130b4ee424ba9d9fa62cf1218679
2346135f2794de4734b9d9a27dc850e1
fe7d9bdbf6f314b471f89f17b35bfbcd
c289c15d0f7e694382a7e0a2dc8bdfd8
9098e520c4c1255299a2512e5e1135ba
db2a34ac873177b297208719fad97ffa
defff110df48eb72c16ce88ffb3b2207
c289c15d0f7e694382a7e0a2dc8bdfd8
c75bd297b87d71c8c73e6e27348c67d5
5af3bab901735575d5d0958921174b17
1a6fea56dc4ee1c445054e6bc208ce4f
ae173e8562f6babacb8e09d0d6c29276
ad0496f544762a95af11f9314e434e94

Contents of http://down.mykings[.]pw:8888/my1.html

360反馈意见截图16370622497153.png

Contents of http://up.mykings[.]pw:8888/update.txt

360反馈意见截图16200713095713.png

本文参考来源于securelist,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/3468.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

xiaohui

嘶吼编辑

发私信

发表评论

    蔡宁宁
    蔡宁宁 2017-02-27 17:02

    这个就厉害了