殭屍網路瞄準SonicWall SSL VPN,揭開隱匿在物聯網裝置背後的真面目
一. 事件簡介
近日,綠盟科技伏影實驗室威脅捕獲系統捕獲到一個利用SonicWall “Virtual Office” SSL VPN RCE進行傳播的Mirai dark系列變種,該系列多以dark.[platform]命名惡意檔案。經過分析,除使用上述漏洞傳播以外,該變種還使用了1個0day、6個1day以及2個Nday漏洞,影響SSL VPN、路由器、NAS、Web閘道器等多種裝置。
其中,Netis WF2419的Nday漏洞(CVE-2019-19356)被NVD公佈已經時隔一年,雖然漏洞及利用已經公佈,但廠商依然沒有修補,說明除0day漏洞外,殭屍網路同樣關注暴露在網路中的具有脆弱性的老舊物聯網裝置。
最後,從F5 BIG-IP漏洞(CVE-2021-22991)的EXP公佈(2021年3月10日)到我們首次捕獲到利用該漏洞傳播惡意樣本(2021年3月11日)僅時隔1天;從SonicWall “Virtual Office” SSL VPN RCE漏洞利用公佈(2021年1月24日)到我們首次捕獲到漏洞探測行為(2021年1月27日)僅間隔3天。說明殭屍網路目前非常關注物聯網相關的1day漏洞且效率極高,研究團隊與殭屍網路的對抗已經上升到了對漏洞跟進效率的對抗。
2020年多個研究團隊發現APT組織如Dark hotel,“Fox Kitten”等利用VPN完成攻擊活動,VPN等安全產品的脆弱性引起了各方關注。而SonicWall “Virtual Office” SSL VPN和F5 BIG-IP均屬於流量、內容控制產品,安全產品反而出現RCE漏洞被利用,後果難以想象。由於殭屍網路針對F5 BIG-IP漏洞(CVE-2021-22991)的攻擊行為尚在演變,本節將就SonicWall “Virtual Office” SSL VPN RCE的威脅分析做相關說明。
SonicWall是一家位於矽谷的私營公司,主要銷售內容控制和網路安全相關產品,其旗下的“Virtual Office”產品宣稱可以透過SSL VPN技術為遠端使用者提供安全的網際網路接入。
2021年1月24日,Darren Martyn在個人部落格上公開了SonicWall “Virtual Office” SSL VPN系列產品的一個遠端程式碼執行漏洞及EXP。1月27日起,綠盟威脅捕獲系統捕獲到了針對該漏洞的相關探測、攻擊活動。1月29日,漏洞利用平臺ExploitDB收錄了該漏洞利用,說明即使專注漏洞利用的ExploiDB依然存在EXP收錄滯後的問題。
截至成稿,我們發現攻擊者已經更新了漏洞探測的手法,且正逐漸增加探測活動的投入,使用相應產品的使用者請及時升級韌體,相關團隊應提前做好預防措施。
我們對漏洞探測及利用次數進行了統計,如圖 2.1 所示。漏洞的探測行為首次出現在2021年2月17日,在Darren Martyn公開漏洞利用的前半個月相對活躍且出現了兩輪高峰。2021年2月18日起出現投遞樣本行為利用次數較少。2021年3月9日起更換漏洞探測方式後,探測活動再次呈現上升趨勢。
對攻擊源數量的統計如圖 2.2 所示。除2021年1月27日攻擊源IP較多以外,其餘時間段攻擊源數量均小於5個,說明攻擊者大部分時間段並未發動殭屍網路進行漏洞探測和利用,這與攻擊者漏洞利用手法迅速變化的表現一致。
圖 2.2 攻擊源IP數量變化趨勢
Darren Martyn的個人部落格公開了SonicWall “Virtual Office”的裝置指紋,透過Shodan檢索公開的兩個指紋,全網共計暴露約7000臺以上SonicWall “Virtual Office”裝置及服務,暴露情況最嚴重的地區為美國。
圖 2.3 透過SonicWall “Virtual Office”指紋一檢索的暴露情況
圖 2.4 透過SonicWall “Virtual Office”指紋二檢索的暴露情況
經過分析,該樣本直接在原版Mirai原始碼上構建,特點是增加了一個0day漏洞和多個1day漏洞。其下載器與常見下載器不同,分為三部分:
第一部分,下載器刪除目標主機的/tmp、/home、/var/run、/etc/cron.d、/etc/cron.daily/、/etc/init.d目錄,即清除臨時目錄、使用者主目錄、自啟動任務以及定時任務。
第二部分,下載器從伺服器拉取x86、mips、mpsl、arm4、arm5、arm6、arm7、ppc、m68k、sh4等架構的樣本,重新命名為nginx後執行相應樣本,加大目標主機感染後相關人員排查的難度。
第三部分,下載器將程式本身寫入/etc/cron.d/目錄,定時執行下載器自身。最後,清空目標主機所有的防火牆設定,並關閉22、23、80、443、8080、9000、8089、7070、8081、9090、161、5555、9600、21412埠。讓目標主機徹底成為殭屍主機,運維人員和其他殭屍網路將無法透過上述埠,遠端訪問裝置。
透過對蜜罐日誌以及樣本的交叉分析,我們發現與其他Mirai變種相比,dark系列變種利用的樣本涵蓋了0day、1day以及Nday漏洞,其中存在較新的1day漏洞,也存在老舊的RCE漏洞,本節將就重點漏洞利用做相關說明。
Crestron是美國的一傢俬營跨國公司,位於新澤西州羅克利,是從事視聽自動化和整合裝置的製造商和分銷商。該公司設計、製造和分發用於控制商業視聽環境(如會議場所,會議室,教室和禮堂)中的技術的裝置;Crestron裝置還用於高階住宅視聽裝置。
捕獲到的dark系列殭屍網路利用了該公司AM-100 AirMedia®演示閘道器的0day漏洞傳播樣本。該漏洞透過AM-100的CGI服務觸發,透過在POST請求的body中拼接命令即可完成命令注入。
3.1.2 SonicWall “Virtual Office” SSL VPN RCE
SonicWall “Virtual Office” SSL VPN RCE(漏洞詳情參見EDB-ID:49499)影響版本小於SMA 8.0.0.4的SonicWall相關裝置,完整的請求如圖 3.1 所示:
圖 3.1 SonicWall “Virtual Office” SSL VPN RCE完整請求
觸發該漏洞的PATH_INFO為:/cgi-bin/jarrewrite.sh,命令執行的負載位於User-Agent,構建shellshock觸發命令執行。
F5公司是一家專門從事應用程式服務和應用程式交付網路(ADN)的美國公司。其產品最初基於負載平衡產品,後來已擴充套件到包括加速、應用安全性和DDoS防禦。
CVE-2021-22991影響的裝置包括:BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。該漏洞透過構建類似HTTP的請求觸發命令執行,完整payload如圖 3.2 所示:
表 3.1 Dark系列變種漏洞彙總
序號 | 漏洞編號 | 受影響裝置或軟體 |
1 | Crestron AM-100 0day | Crestron AM-100 |
2 | EDB-ID:49499 | SonicWall “Virtual Office” SSL VPN(版本< SMA 8.0.0.4) |
3 | CVE-2021-22991 | BIG-IP APM、BIG-IP ASM、BIG-IP PEM、Secure Web Gateway (SWG)、SSL Orchestrator、BIG-IP (all modules)。 |
4 | D-LInk shareCenter RCE | D-LInk DNS320 |
5 | D-Link DIR-825 DoS | D-Link DIR-825、DIR-825_ACF_F1、DIR-825_AC_E、DIR-825_AC_E1A、DIR-825_A_D1A、DIR-825_GF,版本小於3.0.1 |
6 | Micro Focus Operations Bridge Reporter多個漏洞 | Operations Bridge Reporter版本小於10.40 |
7 | CVE-2020-29557 | D-Link DIR-825 R1(版本小於3.0.1) |
8 | CVE-2019-19356 | Netis WF2419(版本:V1.2.31805 and V2.2.36123) |
9 | CVE-2021-27561/27562 | Yealink DM(版本小於3.6.0.20) |
部分樣本SHA256 |
ecae298b18493bf2366f6081e8215a474cce4554e07a7b2380a7f8e8a3a9a37d |
a9c4ea40b08ce4281c2dc9776355186dfc5649f9ec2b36c32fa5540f8d2aef2d |
fb940b1049e0e95c03adb7a2750347108cadf6b19ef4149a5103f7625c07c8ec |
1e56f8ca44f84eff212805fa061ecb0f6fb8bc9499ff2e541ad3c43fb2f4420a |
515dc2fd8819c7fc82395acc4c7fb5b2903982a5f48bc26bc8d0235bc0664d1f |
e2a6ac516ec8b5dcc76becc26cf992434882d490d8f2c9d7071298dba7a641a2 |
ac75cb71c2f052141a238b8f7215d5a0956f7034cf90f231d228ce58254d23ba |
a5ca43106a713c4a8e978575b8685889c244501288b9fa7c7dc7f1e8c5ef1291 |
1d9496814d35d9e302d7e99339e9730fc81c022bc085c0711b73ebad962cbc2b |
caa8b10057fb699d463f309913d0557462e8b37afdaf4d0c3cff63f9b9605f0d |
971b5a96d84ca0d7dd906b639cd97a04835013be32356d09037cff64516c73bf |
部分樣本URLS |
http://45.133.1.133/lolol.sh |
http://45.133.1.133/bins/dark.arm4 |
http://45.133.1.133/bins/dark.arm6 |
http://45.133.1.133/bins/dark.arm5 |
http://45.133.1.133/bins/dark.arm7 |
http://45.133.1.133/bins/dark.ppc |
http://45.133.1.133/bins/dark.mpsl |
http://45.133.1.133/bins/dark.mips |
http://45.133.1.133/bins/dark.x86 |
http://45.133.1.133/bins/dark.m68k |
http://45.133.1.133/bins/dark.sh4 |
[1] ExploitDB, SonicWall SSL-VPN 8.0.0.0 - 'shellshock/visualdoor' Remote Code Execution (Unauthenticated), https://www.exploit-db.com/exploits/49499.
[2] F5網路公司, TMM buffer-overflow vulnerability CVE-2021-22991, https://support.f5.com/csp/article/K56715231.
[3] WinMin, Disclosure of vulnerabilities in D-LInk DNS320, https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675.[4] Shaked Delarea, Reversing DIR-825 Dlink router, https://shaqed.github.io/dlink.
[5] Pedro Ribeiro, Micro Focus Operations Bridge Reporter, https://github.com/pedrib/PoC/blob/master/advisories/Micro_Focus/Micro_Focus_OBR.md.
[6] NVD, CVE-2020-29557, https://nvd.nist.gov/vuln/detail/CVE-2020-29557.
[7] NVD, CVE-2019-19356, https://nvd.nist.gov/vuln/detail/CVE-2019-19356.
[8] SSD Advisory, Yealink DM Pre Auth ‘root’ level RCE, https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/.
研究目標包括Botnet、APT高階威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。
相關文章
- 物聯網裝置殭屍網路趨勢分析
- 瞄準Windows的新興殭屍網路:KrakenWindows
- 超大規模的物聯網殭屍網路:Pink
- 殭屍蜜網:首款具備誘捕及反探測能力的物聯網殭屍網路
- 新Linux蠕蟲瞄準路由器和物聯網裝置Linux路由器
- 第一個能在裝置重啟後繼續存活的殭屍網路
- 注意!首個物聯網殭屍網路新變種肆虐,大批Android裝置使用者受害Android
- 物聯網火爆背後隱藏的巨大安全風險
- 物聯網變身黑暗森林:殭屍網路、守護者、毀滅者層出不窮
- Chalubo殭屍網路來襲 IOT裝置或將受到DDoS攻擊
- 什麼是殭屍網路
- 重啟裝置沒用了!HNS惡意軟體開啟殭屍網路“新時代”
- 怎樣有效的治理殭屍網路?
- Mirai殭屍網路重出江湖AI
- 提高你的警惕 殭屍網路紮根網際網路(轉)
- 開源網格VPN meshboi及其背後原理
- 殭屍網路XorDDoS的原理分析與清除
- 微軟發現由俄羅斯背後支援的利用物聯網裝置進行的攻擊微軟
- 深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手
- 如何保護物聯網裝置
- 揭秘Neutrino殭屍網路生成器
- RDP服務之GoldBrute殭屍網路Go
- Android與物聯網裝置通訊-網路模型分層Android模型
- 物聯網教程Linux系統程式設計——特殊程式之殭屍程式Linux程式設計
- 狼煙再起 | 物聯網殭屍家族入侵模式再更新,阻擊需提前模式
- P2P 殭屍網路入門
- 守護物聯網的邊界:從裝置開始從裝置結束
- Mirai 殭屍網路出現了新的變種AI
- 殭屍網路促使垃圾郵件的大幅增加(轉)
- 無所不在的JavaScript與物聯網裝置JavaScript
- 物聯網路卡能用於個人裝置嗎
- Worldpay:中國消費者處在聯網裝置購物的最前沿
- 微軟聯合執法人員 一舉突襲兩大全球殭屍網路微軟
- 濫用ThinkPHP漏洞的殭屍網路Hakai和YowaiPHPAI
- Gafgyt變種——Jaws殭屍網路的分析報告
- 從裝置聯網走向萬物互聯三大趨勢引領物聯網未來
- 揭開陣列的真面目陣列
- Linux殭屍程式處置Linux