家用机顶盒、光纤猫,路由器等终端网络设备大多采用MIPS架构的嵌入式Linux系统。其管理方式除web外,通常还支持Telnet、SSH等远程管理协议,此外大多设备还支持通过内置的BusyBox执行常见的shell命令,如:ps、netstat、ls、cat等,而其中很多设备管理密码为出厂默认或者弱口令。
综述
近期,绿盟科技应急响应团队陆续接到多个运营商客户的安全事件反馈,大量用户终端的光猫设备存在流量异常。通过抓包分析,发现存在大量Telnet连接登陆,疑似感染蠕虫。
通过分析受感染设备系统日志,发现短时间内存在大量root用户登陆记录且源IP非常分散,符合蠕虫感染特征。
结合数据包分析,可基本还原该蠕虫相关行为。通过设备管理员口令登陆后,首先尝试通过多种方式,调用系统内置BusyBox。
其次通过shell命令修改管理员口令,以实现长期控制,同时还将探测相关目录及命令是否存在/可用。
随后通过echo命令,以十六进制方式,分段写入病毒文件,并在执行后删除自身。
该病毒程序命名由cat+5位随机字符组成,如:catburhk,由此我们将此蠕虫命名为DarkCat。
DarkCat使用了upx壳对程序进行了压缩处理,并对加壳后的程序进行了修改,以干扰脱壳程序,防止被研究人员分析调试。
DarkCat运行后,将启动多个子进程,以多线程方式进行传播、感染。
该蠕虫的行为主要表现为通过内置用户名/口令字典,对网络中其他设备进行Telnet暴破,该字典文件几乎包含了各大运营商的常见光猫设备登陆信息。
受感染设备同时会对互联网及内网目标进行暴破,因此将造成网络出口流量异常、网络阻塞。关于DarkCat更多分析细节,敬请关注绿盟科技博客。
检测
1、通过网管系统或防火墙,监控网络出口是否存在异常流量
2、通过威胁分析系统或IPS,监控Telnet协议是否存在异常登陆
3、登陆可疑设备,通过ps/netstat命令判断是否存在异常进程/网络连接
4、根据时间排序,检查可疑设备目录(/tmp、/var、/dev、/etc)是否存在异常文件
防护
1.从网络层封禁/隔离23(telnet)及80(web)端口
2.通过TR069协议或人工方式,重启受感染设备
3.通过TR069协议或人工方式,批量修改设备口令
4.协调厂商,通过固件升级,对口令复杂度、账户锁定、默认端口进行加固
5.其他未尽/未知事宜,请及时联系绿盟科技专业安全事件响应团队
声 明
=============
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
==============
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。