殭屍網路瞄準SonicWall SSL VPN，揭開隱匿在物聯網裝置背後的真面目

一.  事件簡介

近日，綠盟科技伏影實驗室威脅捕獲系統捕獲到一個利用SonicWall “Virtual Office” SSL VPN RCE進行傳播的Mirai dark系列變種，該系列多以dark.[platform]命名惡意檔案。經過分析，除使用上述漏洞傳播以外，該變種還使用了1個0day、6個1day以及2個Nday漏洞，影響SSL VPN、路由器、NAS、Web閘道器等多種裝置。

其中，Netis WF2419的Nday漏洞（CVE-2019-19356）被NVD公佈已經時隔一年，雖然漏洞及利用已經公佈，但廠商依然沒有修補，說明除0day漏洞外，殭屍網路同樣關注暴露在網路中的具有脆弱性的老舊物聯網裝置。

最後，從F5 BIG-IP漏洞（CVE-2021-22991）的EXP公佈（2021年3月10日）到我們首次捕獲到利用該漏洞傳播惡意樣本（2021年3月11日）僅時隔1天；從SonicWall “Virtual Office” SSL VPN RCE漏洞利用公佈（2021年1月24日）到我們首次捕獲到漏洞探測行為（2021年1月27日）僅間隔3天。說明殭屍網路目前非常關注物聯網相關的1day漏洞且效率極高，研究團隊與殭屍網路的對抗已經上升到了對漏洞跟進效率的對抗。

二.  威脅分析

2020年多個研究團隊發現APT組織如Dark hotel，“Fox Kitten”等利用VPN完成攻擊活動，VPN等安全產品的脆弱性引起了各方關注。而SonicWall “Virtual Office” SSL VPN和F5 BIG-IP均屬於流量、內容控制產品，安全產品反而出現RCE漏洞被利用，後果難以想象。由於殭屍網路針對F5 BIG-IP漏洞（CVE-2021-22991）的攻擊行為尚在演變，本節將就SonicWall “Virtual Office” SSL VPN RCE的威脅分析做相關說明。

2.1  背景概述

SonicWall是一家位於矽谷的私營公司，主要銷售內容控制和網路安全相關產品，其旗下的“Virtual Office”產品宣稱可以透過SSL VPN技術為遠端使用者提供安全的網際網路接入。

2021年1月24日，Darren Martyn在個人部落格上公開了SonicWall “Virtual Office” SSL VPN系列產品的一個遠端程式碼執行漏洞及EXP。1月27日起，綠盟威脅捕獲系統捕獲到了針對該漏洞的相關探測、攻擊活動。1月29日，漏洞利用平臺ExploitDB收錄了該漏洞利用，說明即使專注漏洞利用的ExploiDB依然存在EXP收錄滯後的問題。

截至成稿，我們發現攻擊者已經更新了漏洞探測的手法，且正逐漸增加探測活動的投入，使用相應產品的使用者請及時升級韌體，相關團隊應提前做好預防措施。

2.2  時間線

2.3  攻擊利用趨勢

我們對漏洞探測及利用次數進行了統計，如圖 2.1 所示。漏洞的探測行為首次出現在2021年2月17日，在Darren Martyn公開漏洞利用的前半個月相對活躍且出現了兩輪高峰。2021年2月18日起出現投遞樣本行為利用次數較少。2021年3月9日起更換漏洞探測方式後，探測活動再次呈現上升趨勢。

 

圖 2.1  漏洞探測、利用次數變化趨勢

對攻擊源數量的統計如圖 2.2 所示。除2021年1月27日攻擊源IP較多以外，其餘時間段攻擊源數量均小於5個，說明攻擊者大部分時間段並未發動殭屍網路進行漏洞探測和利用，這與攻擊者漏洞利用手法迅速變化的表現一致。

 

圖 2.2  攻擊源IP數量變化趨勢

2.4  暴露情況分析

Darren Martyn的個人部落格公開了SonicWall “Virtual Office”的裝置指紋，透過Shodan檢索公開的兩個指紋，全網共計暴露約7000臺以上SonicWall “Virtual Office”裝置及服務，暴露情況最嚴重的地區為美國。

圖 2.3  透過SonicWall “Virtual Office”指紋一檢索的暴露情況

圖 2.4  透過SonicWall “Virtual Office”指紋二檢索的暴露情況

2.5  下載器分析

經過分析，該樣本直接在原版Mirai原始碼上構建，特點是增加了一個0day漏洞和多個1day漏洞。其下載器與常見下載器不同，分為三部分：

第一部分，下載器刪除目標主機的/tmp、/home、/var/run、/etc/cron.d、/etc/cron.daily/、/etc/init.d目錄，即清除臨時目錄、使用者主目錄、自啟動任務以及定時任務。

 

圖 2.5  樣本第一部分

第二部分，下載器從伺服器拉取x86、mips、mpsl、arm4、arm5、arm6、arm7、ppc、m68k、sh4等架構的樣本，重新命名為nginx後執行相應樣本，加大目標主機感染後相關人員排查的難度。

圖 2.6  樣本第二部分

第三部分，下載器將程式本身寫入/etc/cron.d/目錄，定時執行下載器自身。最後，清空目標主機所有的防火牆設定，並關閉22、23、80、443、8080、9000、8089、7070、8081、9090、161、5555、9600、21412埠。讓目標主機徹底成為殭屍主機，運維人員和其他殭屍網路將無法透過上述埠，遠端訪問裝置。

圖 2.7  樣本第三部分

三.  脆弱性分析

透過對蜜罐日誌以及樣本的交叉分析，我們發現與其他Mirai變種相比，dark系列變種利用的樣本涵蓋了0day、1day以及Nday漏洞，其中存在較新的1day漏洞，也存在老舊的RCE漏洞，本節將就重點漏洞利用做相關說明。

3.1  重點漏洞說明

3.1.1  Crestron AM-100 0day

Crestron是美國的一傢俬營跨國公司，位於新澤西州羅克利，是從事視聽自動化和整合裝置的製造商和分銷商。該公司設計、製造和分發用於控制商業視聽環境（如會議場所，會議室，教室和禮堂）中的技術的裝置；Crestron裝置還用於高階住宅視聽裝置。

捕獲到的dark系列殭屍網路利用了該公司AM-100 AirMedia®演示閘道器的0day漏洞傳播樣本。該漏洞透過AM-100的CGI服務觸發，透過在POST請求的body中拼接命令即可完成命令注入。

3.1.2  SonicWall “Virtual Office” SSL VPN RCE

SonicWall “Virtual Office” SSL VPN RCE（漏洞詳情參見EDB-ID:49499）影響版本小於SMA 8.0.0.4的SonicWall相關裝置，完整的請求如圖 3.1 所示：

圖 3.1  SonicWall “Virtual Office” SSL VPN RCE完整請求

觸發該漏洞的PATH_INFO為：/cgi-bin/jarrewrite.sh，命令執行的負載位於User-Agent，構建shellshock觸發命令執行。

3.1.3  CVE-2021-22991

F5公司是一家專門從事應用程式服務和應用程式交付網路（ADN）的美國公司。其產品最初基於負載平衡產品，後來已擴充套件到包括加速、應用安全性和DDoS防禦。

CVE-2021-22991影響的裝置包括：BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。該漏洞透過構建類似HTTP的請求觸發命令執行，完整payload如圖 3.2 所示：

圖 3.2  CVE-2021-22991完整請求

3.2  漏洞彙總

表 3.1  Dark系列變種漏洞彙總

序號	漏洞編號	受影響裝置或軟體
1	Crestron   AM-100 0day	Crestron   AM-100
2	EDB-ID:49499	SonicWall   “Virtual Office” SSL VPN（版本< SMA 8.0.0.4）
3	CVE-2021-22991	BIG-IP   APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。
4	D-LInk   shareCenter RCE	D-LInk   DNS320
5	D-Link   DIR-825 DoS	D-Link   DIR-825、DIR-825_ACF_F1、DIR-825_AC_E、DIR-825_AC_E1A、DIR-825_A_D1A、DIR-825_GF，版本小於3.0.1
6	Micro   Focus Operations Bridge Reporter多個漏洞	Operations   Bridge Reporter版本小於10.40
7	CVE-2020-29557	D-Link   DIR-825 R1（版本小於3.0.1）
8	CVE-2019-19356	Netis   WF2419（版本：V1.2.31805 and V2.2.36123）
9	CVE-2021-27561/27562	Yealink   DM(版本小於3.6.0.20)

附錄A   IoC及參考文獻

A.1  IoC

部分樣本SHA256

ecae298b18493bf2366f6081e8215a474cce4554e07a7b2380a7f8e8a3a9a37d

a9c4ea40b08ce4281c2dc9776355186dfc5649f9ec2b36c32fa5540f8d2aef2d

fb940b1049e0e95c03adb7a2750347108cadf6b19ef4149a5103f7625c07c8ec

1e56f8ca44f84eff212805fa061ecb0f6fb8bc9499ff2e541ad3c43fb2f4420a

515dc2fd8819c7fc82395acc4c7fb5b2903982a5f48bc26bc8d0235bc0664d1f

e2a6ac516ec8b5dcc76becc26cf992434882d490d8f2c9d7071298dba7a641a2

ac75cb71c2f052141a238b8f7215d5a0956f7034cf90f231d228ce58254d23ba

a5ca43106a713c4a8e978575b8685889c244501288b9fa7c7dc7f1e8c5ef1291

1d9496814d35d9e302d7e99339e9730fc81c022bc085c0711b73ebad962cbc2b

caa8b10057fb699d463f309913d0557462e8b37afdaf4d0c3cff63f9b9605f0d

971b5a96d84ca0d7dd906b639cd97a04835013be32356d09037cff64516c73bf

 

部分樣本URLS

http://45.133.1.133/lolol.sh

http://45.133.1.133/bins/dark.arm4

http://45.133.1.133/bins/dark.arm6

http://45.133.1.133/bins/dark.arm5

http://45.133.1.133/bins/dark.arm7

http://45.133.1.133/bins/dark.ppc

http://45.133.1.133/bins/dark.mpsl

http://45.133.1.133/bins/dark.mips

http://45.133.1.133/bins/dark.x86

http://45.133.1.133/bins/dark.m68k

http://45.133.1.133/bins/dark.sh4

A.2  參考文獻

[1]     ExploitDB, SonicWall SSL-VPN 8.0.0.0 - 'shellshock/visualdoor' Remote Code Execution (Unauthenticated), https://www.exploit-db.com/exploits/49499.

[2]     F5網路公司, TMM buffer-overflow vulnerability CVE-2021-22991,  https://support.f5.com/csp/article/K56715231.

[3]     WinMin, Disclosure of vulnerabilities in D-LInk DNS320, https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675.[4]     Shaked Delarea, Reversing DIR-825 Dlink router, https://shaqed.github.io/dlink.

[5]     Pedro Ribeiro, Micro Focus Operations Bridge Reporter, https://github.com/pedrib/PoC/blob/master/advisories/Micro_Focus/Micro_Focus_OBR.md.

[6]     NVD, CVE-2020-29557, https://nvd.nist.gov/vuln/detail/CVE-2020-29557.

[7]     NVD, CVE-2019-19356, https://nvd.nist.gov/vuln/detail/CVE-2019-19356.

[8]     SSD Advisory, Yealink DM Pre Auth ‘root’ level RCE, https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/.

附錄B   關於伏影實驗室

研究目標包括Botnet、APT高階威脅，DDoS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。