服务热线
15527777548/18696195380
发布时间:2018-05-10
简要描述:
自从本次GPON漏洞公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多,在以往IoT...
自从本次GPON漏洞公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多,在以往IoT僵尸网络发展中并不多见。
幸运的是,当前包括muhstik、mirai、hajime、satori在内的其中大部分僵尸网络的攻击载荷经测试实现有问题,并不能真正植入恶意代码;mettle 虽然能够植入恶意代码,但C2服务器短暂出现后下线了。无论如何,由于这些恶意代码团伙在积极更新,我们仍应对他们的行为保持警惕。muhstik 僵尸网络由我们首次批露 ( 报告-2018-04 )。
本次 muhstik 的更新中增加了针对包括 GPON 在内三个漏洞的利用。本轮更新后 muhstik共有 10 种漏洞检测模块。
到北京时间5月9日,我们联合安全社区关闭了部分服务器,部分减缓了 muhstik 的扩张速度。然而 muhstik 扩张的脚步并未停止,在2018-05-10 10:30 GMT+8,我们观察到它启用了 165.227.78.159 替代被关闭的报告服务器,当前我们正在与安全社区协作采取后续行动。
5月1号,VPN Mentor披露了GPON Home Routers的两个漏洞,分别是了CVE-2018-10561认证绕过漏洞和 CVE-2018-10562 命令执行漏洞。经过对已公开 PoC 的分析,我们能够确定该漏洞利用简单有效,影响面很广,并预期会被僵尸网络用来扩展其僵尸军团。从第二天(5月2号)开始,我们就陆续看到有僵尸网络在利用该漏洞扩展感染范围。到5月10日,我们累积捕获并分析了 5 个家族的恶意代码在利用这些漏洞。按我们观测到的时间顺序,这些僵尸网络分别是:
下文集中描述 muhstik 僵尸网络。
上图是 muhstik 僵尸网络的结构示意:
muhstik 本轮新增了 3 种漏洞检测模块,目前共有 10 种漏洞检测模块。其中新增的 3 种漏洞检测模块如下:
Gpon 和 JBOSS 的漏洞检测代码体现在 aiomips 样本中(5c55d50c10f2b500b0fbcd4ade2b18ea):
DD-WRT 的漏洞检测代码体现在 aioarm 样本中(b9c8c709c89b2f9d864aa21164d25752)
**
到北京时间5月9日,我们联合安全社区关闭了若干服务器,部分减缓了 muhstik 的扩张速度,包括:
51.254.219.134 "AS16276 OVH SAS" 191.238.234.227 "AS8075 Microsoft Corporation"
然而 muhstik 扩张的脚步并未停止,当前(2018-05-10 10:30 GMT+8)我们观察到它启用了 165.227.78.159 替代被关闭的报告服务器。我们正在与安全社区协作采取后续行动。新的恶意软件url
hxxp://165.227.78.159/gponb6abe42c3a9aa04216077697eb1bcd44.php #状态报告 hxxp://162.243.211.204/gponexec #下载 muhstik.tsunami 恶意样本
State Report URL List
hxxp://165.227.78.159/gponb6abe42c3a9aa04216077697eb1bcd44.php?port=80|8080 hxxp://128.199.251.119/gpon.php?port=80|8080
Malware Download URL List
hxxp://162.243.211.204/aio hxxp://162.243.211.204/gpon hxxp://162.243.211.204/nsshpftp hxxp://162.243.211.204/nsshcro hxxp://162.243.211.204/aiomips hxxp://210.245.26.180/arm hxxp://46.243.189.102/ hxxp://162.243.211.204/gponexec hxxp://51.254.221.129/c/cron hxxp://51.254.221.129/c/tfti hxxp://51.254.221.129/c/pftp hxxp://51.254.221.129/c/ntpd hxxp://51.254.221.129/c/sshd hxxp://51.254.221.129/c/bash hxxp://51.254.221.129/c/pty hxxp://51.254.221.129/c/shy hxxp://51.254.221.129/c/nsshtfti hxxp://51.254.221.129/c/nsshcron hxxp://51.254.221.129/c/nsshpftp hxxp://51.254.221.129/c/fbsd
C2 List
139.99.101.96:9090 AS16276 OVH SAS 144.217.84.99:9090 AS16276 OVH SAS 145.239.84.0:9090 AS16276 OVH SAS 147.135.210.184:9090 AS16276 OVH SAS 142.44.163.168:9090 AS16276 OVH SAS 192.99.71.250:9090 AS16276 OVH SAS 142.44.240.14:9090 AS16276 OVH SAS 121.128.171.44:9090 AS4766 Korea Telecom #当前未生效 66.70.190.236:9090 AS16276 OVH SAS #当前未生效 145.239.93.125:9090 AS16276 OVH SAS irc.de-zahlung.eu:9090 #当前未生效
All IP list
121.128.171.44:9090 AS4766 Korea Telecom #当前未生效 139.99.101.96:9090 AS16276 OVH SAS 142.44.163.168:9090 AS16276 OVH SAS 142.44.240.14:9090 AS16276 OVH SAS 144.217.84.99:9090 AS16276 OVH SAS 145.239.84.0:9090 AS16276 OVH SAS 145.239.93.125:9090 AS16276 OVH SAS 147.135.210.184:9090 AS16276 OVH SAS 162.243.211.204 "AS62567 DigitalOcean, LLC" 165.227.78.159 "AS14061 DigitalOcean, LLC" 192.99.71.250:9090 AS16276 OVH SAS 210.245.26.180 "AS18403 The Corporation for Financing & Promoting Technology" 46.243.189.102 "AS205406 Hostio Solutions B.V." 51.254.221.129 "AS16276 OVH SAS" 66.70.190.236:9090 AS16276 OVH SAS #当前未生效 irc.de-zahlung.eu:9090 #当前未生效 51.254.219.137 "AS16276 OVH SAS"
曾经在 muhstik 控制之下,但已经被安全社区清除的IP列表:
51.254.219.134 "AS16276 OVH SAS" 191.238.234.227 "AS8075 Microsoft Corporation"
C2 and Scanner
210.245.26.180 "AS18403 The Corporation for Financing & Promoting Technology" 118.70.80.143 "AS18403 The Corporation for Financing & Promoting Technology"
如果您有任何问题,请跟我们联系!
联系我们