格物实验室:目标Avtech摄像头,Mirai僵尸网络新一轮攻击来袭

执行摘要

近期,通过绿盟威胁捕获系统,我们监测到了Mirai僵尸网络的新一轮攻击行为,它采用已知的漏洞利用手法EDB-ID:40500[1],使用域名panel.devilsden.net作为样本下载服务器,投递大量以UnHAnaAW为前缀的新型恶意样本,攻击Avtech等厂商的视频监控设备。值得一提的是,2020年7月5日攻击者利用漏洞CVE-2020-5902对F5 BIG-IP服务器进行DDoS攻击时,域名panel.devilsden.net也被用来当作恶意样本下载服务器[2]

本文的关键发现如下:

  • 漏洞利用方式主要有两种,一种是未授权的命令注入-Search.cgi,另一种是授权的命令注入- CloudSetup.cgi,这两种方式都能使攻击者用最高权限执行任何命令。
  • 2020年全球暴露在互联网上的Avtech视频监控设备高达384,059个,排名前三的国家依次是泰国,越南和墨西哥,其中暴露资产数量最多的是泰国,共52,185个。
  • 攻击者在2020年6月7日初次被发现,6月下旬开始活跃,7月12日日志数量最多,近期两种漏洞利用行为数量都开始增多。
  • 截止2020年7月13日,共捕获到5个攻击源,它们分别来自4个不同的国家,大多数都有2种漏洞利用行为。
  • 以UnHAnaAW为前缀的新型恶意样本共9种,初次捕获时间都是2020年7月13日,它们都来自于Mirai家族。

一、漏洞利用方式和暴露资产分析

1.1 方式一:未授权的命令注入-Search.cgi

对于视频监控设备来说, Search.cgi可以用来在无需认证的情况下搜索本地网络中的相关摄像头设备。但在较新的固件版本中,Search.cgi提供的cgi_query方法在执行系统命令wget进行HTML请求时,对接受的参数不进行处理和验证。因此攻击者可以利用这个漏洞在没有任何身份验证的情况下使用最高权限执行任何命令。

POC:

1.2 方式二:授权的命令注入- CloudSetup.cgi

支持Avtech云的视频监控设备在通过身份验证后就可以直接通过CloudSetup.cgi进行访问,而对后面参数exefile的内容不做任何检查或白名单过滤。因此攻击者也可以利用这个漏洞使用最高权限执行任何命令。

POC:

关于这两种漏洞利用更详细的分析见:

1.3 暴露资产情况

通过绿盟威胁情报中心(NTI),我们对全球暴露在互联网上的Avtech视频监控设备进行测绘后发现,2020年受影响的暴露资产高达384,059个,如此大的规模值得引起大家重视。

图 1.1 展示了暴露资产国家分布情况,排名前三的国家依次是泰国,越南和墨西哥,其中暴露资产数量最多的是泰国,共52,185个。

图 1.1 暴露资产国家分布情况

二、攻击趋势分析

通过对相关日志数量进行统计分析,可以得到攻击趋势的变化情况。如图 2.1 所示,这些攻击者在2020年6月7日初次被发现,6月下旬开始活跃,7月12日日志数量最多,近期两种漏洞利用行为数量都开始增多。

图 2.1 攻击者活跃情况

三、攻击源分析

截止2020年7月13日,我们共捕获到5个攻击源,它们分别来自4个不同的国家,大多数都有2种漏洞利用行为,详细信息见表 3.1 。

表 3.1 攻击源详细信息

IP地址国家日志数量活跃天数利用漏洞种类
185.172.110.178荷兰165252
159.203.191.246美国152352
2.57.122.96中国55912
45.148.10.39荷兰38552
104.244.79.242卢森堡6311

从目的端口维度对这些攻击源进行分析,图 3.2 展示了攻击日志的目的端口数量Top10,被攻击最多的目的端口是49153。

图 3.2 攻击源的目的端口数Top10

四、IOC

样本文件:

文件名SHA256
UnHAnaAW.arm706222bde5cc21bfe7d906fc97e4055d6308e39429dd91ce01bdb5f85d160f32f
UnHAnaAW.m68kf2b912e2e3fd7e469b90d374d90d0446915a0beadb011bb8ac65c48e27647f07
UnHAnaAW.arm6371bf5ae50329b6ec70af2b1c652a055ed0ae8e9135d140c2d93b24fae81344f
UnHAnaAW.mpsl7e885b3aac5a8899f0dc2e700403032a65e428ded336275161e1e2c2277ba5a9
UnHAnaAW.mips9188915287e3bc205e1b0d2322fbd869e0edac4c022e2228d283c78775d3180a
UnHAnaAW.sh4300829b16f75f336e5d947ed56bba22060382bf2bb975c367974311f291f3f59
UnHAnaAW.arm49d6465be48f4cb305d7e5dddbda08de5eeb3b0d21957679f4e095073b74c04e0
UnHAnaAW.ppc564e20b9d0e430969130e6fdbe0da2593995f629fb8e456cf79149c420f3702f
UnHAnaAW.arm5ae0b58a817b3a628ff767f607de0161706ac174bd90471d2c9b61ef5feece027
UnHAnaAW.x86979092045d17bea463d5683a34d9a9265af053a9b73005629f49948f1ba27030

恶意样本下载服务器:185.172.110.178

域名:panel.devilsden.net

参考文献

https://www.exploit-db.com/exploits/40500

https://mp.weixin.qq.com/s/gCF8-pQKItZfh_aVPHXDzA

Spread the word. Share this post!

Meet The Author

Leave Comment