執行摘要

2020年10月26日，我們捕獲到一個Gafgyt家族DDoS變種開始利用Seowon SlC 130路由器RCE漏洞進行傳播。不同於往常，殭屍網路通常在大規模投遞樣本前進行小規模的漏洞驗證，本次捕獲到的變種沒有任何徵兆即爆發了大規模投遞樣本的情況。該變種VirusTotal檢出率為0，共包含12種DDoS方式，除常規的反射攻擊方式（SSDP等）外，還包含獨特的DDoS方式（STUN等）。本文將透過脆弱性、暴露情況以及威脅分析三個方面，分析本次捕獲到的攻擊。

脆弱性分析一節，我們結合網際網路公開PoC及捕獲到的攻擊，分析了攻擊者攻擊的手法。發現攻擊者使用的PoC極有可能來自Exploit-DB。

暴露情況分析一節，我們結合綠盟威脅情報中心，發現2020年至今，網際網路中暴露1124臺Seowon SLC-130路由器，主要位於美國。

威脅分析一節，我們還原了針對Seowon SlC 130路由器攻擊的時間線，並分析了攻擊源和樣本情況。發現攻擊源只有一個，位於美國布法羅，且僅在2020年10月26日活動，其餘時間段暫未捕獲，但也應引起重視，以防該攻擊再次爆發。樣本的VT檢出率為0，幷包含獨特的DDoS手法和User-Agent偽裝手法。

此次攻擊事件中，攻擊者入侵裝置所使用的漏洞、DDoS攻擊方式、攻擊特徵都在推陳出新，給防護帶來了新的挑戰。跟進Exploit-DB公佈的RCE漏洞並將其整合進自己的武器庫，已經成為殭屍網路的常規行為（尤其有一定開發能力的變種，非常熱衷於擴大自己的武器庫並不斷加入新的攻擊手法）。裝置廠商，除關注、修復CVE、CNVD等平臺的漏洞外，也應重點關注Exploit-DB上的RCE漏洞，及時修復漏洞，以免造成更嚴重的損失。

1.  脆弱性分析

本次我們捕獲到的攻擊，漏洞利用詳見公開PoC[1]，攻擊過程分為三步：

- 第一步，硬編碼脆弱性驗證。攻擊者傳送一條HTTP POST請求，PATH_INFO為：/cgi-bin/login.cgi，弱口令admin/admin位於Body中。

- 第二步，投遞下載器。攻擊者傳送一條HTTP POST請求，PATH_INFO為：/cgi-bin/system_log.cgi，惡意載荷位於Body的pingIpAddr欄位中。

- 第三步，透過下載器下載並執行二進位制樣本。下載器採用Bash編寫，如圖 1.1 所示。

圖 1.1  針對Seowon路由器的樣本下載器

我們發現攻擊者投遞樣本的過程與Exploit-DB公佈的漏洞利用基本一致，說明此次攻擊PoC的來源極有可能是Exploit-DB。跟進Exploit-DB公佈的漏洞利用並將其整合近自己的武器庫，已經成為殭屍網路的常規行為。

2.  暴露情況分析

透過使用綠盟威脅情報中心對Seowon SLC-130路由器指紋進行搜尋，共發現1124條記錄（2020年至成稿），暴露的Seowon SLC-130路由器國家分佈情況如圖 2.1 所示，可以看出暴露的地區以美國為主。

  

圖 2.1  暴露的Seowon SLC-130路由器國家分佈情況（2020年1月至10月）

3.  威脅分析

3.1  時間線

2020年8月21日：Exploit-DB公佈了Seowon SlC 130路由器的遠端程式碼執行漏洞。

2020年10月26日：利用該漏洞投遞樣本的行為首次出現並呈現爆發態勢。

3.2  攻擊源及攻擊趨勢

我們發現，攻擊源只有一個，IP：172.245.7.141，位於美國布法羅，說明攻擊者使用了固定的主機進行全網探測。同時我們統計了攻擊者的攻擊趨勢，此次攻擊僅在2020年10月26日活動，其餘時間段暫未捕獲。

3.3  樣本分析

我們捕獲到的攻擊樣本為Gafgyt家族變種，同時引入了其他蠕蟲家族（如Satori）的一些功能模組，本文重點分析的樣本，其投遞URL為http://172.245.7.141/bot.armeb，SHA256見表 3.1 。表中同時列出了我們透過關聯分析得到的其他樣本。

表 3.1  部分樣本原始檔名與SHA256

由於此樣本使用了非常冷門的架構（ARM Big-Endian），且採用變種UPX加殼，其VT檢出率為0，如圖 3.2所示 。

圖 3.1  bot.armeb樣本的VT檢測結果

我們對脫殼後的樣本進行分析，樣本執行後會輸出固定字串9xsspnvgc8aj5pi7m28p，這個特徵在其他Gafgyt樣本中也曾出現，主要用於掃描模組判定樣本執行情況。

圖 3.2  樣本中包含的特徵字串

透過分析我們發現，投遞樣本的伺服器172.245.7.141同時也是其C&C地址。這個地址多處硬編碼於樣本中。樣本透過4321埠接受控制指令，透過6666埠上報DDoS攻擊任務執行狀態，透過7685埠動態獲取telnet爆破所需的密碼錶。擁有非常多的功能與互動。

圖 3.3  樣本建立C&C連線部分邏輯

目前，樣本僅包括兩個功能，Telnet掃描傳播、接受指令進行DDoS攻擊。其中，Telnet掃描功能除了透過內建的密碼錶進行暴力破解外，還會連線C&C伺服器的7685埠動態獲取密碼錶併合併到內建的庫中。但我們模擬協議與C&C進行互動後，發現攻擊者目前並沒有下發任何資料，埠雖然開放，但返回資料為空。

圖 3.4  樣本動態獲取密碼錶部分邏輯

Telnet登入成功後，樣本透過兩種方式嘗試投遞樣本，一是透過裝置內busybox自帶的wget與tftp外掛從172.245.7.141下載樣本，二是識別裝置/bin/busybox的ELF檔案頭，根據不同架構將樣本本身嵌入的下載器ELF投遞到裝置並執行。樣本中包含8個不同架構的下載器，這些樣本非常小巧，每個大小隻有1k左右，透過HTTP協議連線172.245.7.141進行下載。

圖 3.5  樣本中內嵌的下載器ELF

投遞樣本時嘗試的URL列表：

·  http://172.245.7.141/bot.armeb 本文分析的主要樣本。

·  http://172.245.7.141/bot.arm4 無法下載，404

·  http://172.245.7.141/bot.arm5 SHA256： caf01a7da4c28c9c3c9a7fb340a5d56ecc0ab6e8cb2ef590b0b2b4ea0c625d70

·  http://172.245.7.141/bot.arm6 無法下載，404

·  http://172.245.7.141/bot.arm7 SHA256： 12924b0f50bcfb7487aade4c7c9fd426505648bcaddee7d1736b4c0a588b9fe4

·  http://172.245.7.141/bot.aarch64 無法下載，404

樣本的第二個功能為DDoS攻擊，共12種。除了常規的UDP（NTP、mDNS、LDAP、Memcached、SSDP）反射、TCP/HTTP floods之外，還包含了多種非常規的攻擊方式，比如利用STUN（NAT穿透服務）協議進行攻擊，還包括一種從隨機埠無規律攻擊、可由服務端控制攻擊強度的特殊UDP攻擊方式，其C&C命令碼為0x0F。

圖 3.6  樣本包含的DDoS攻擊方式

除此之外，比較有趣的另一點是，樣本中HTTP Flood所採用的User-Agent偽造了多款家庭遊戲主機，包括WiiU、PS4、3DS。與平常偽造瀏覽器的樣本不同。

圖 3.7  HTTP Flood偽造的User-Agent列表

3.4  IoC

參考文獻

[1] Exploit-DB. Seowon SlC 130 Router - Remote Code Execution. https://www.exploit-db.com/exploits/48759

伏影實驗室專注於安全威脅研究與監測技術

涵蓋威脅識別技術，威脅跟蹤技術，威脅捕獲技術，威脅主體識別技術。

研究目標包括：殭屍網路威脅，DDOS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅 及 新興威脅。

透過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。

伏影實驗室威脅捕獲系統

網路安全發展至今特別是隨著威脅情報的興起和虛擬化技術的不斷髮展，欺騙技術也越來越受到各方的關注。欺騙技術就是威脅捕獲系統關鍵技術之一。它的高保真、高質量、鮮活性等特徵，使之成為研究敵人的重要手段，同時實時捕獲一手威脅時間不再具有滯後性，非常適合威脅情報的時效性需求。

綠盟伏影實驗室於2017年中旬運營了一套威脅捕獲系統，發展至今已逐步成熟，感知節點遍佈世界五大洲，覆蓋了20多個國家，覆蓋常見服務、IOT服務，工控服務等。形成了以全埠模擬為基礎，智慧互動服務為輔的混合型感知架構，每天從網際網路中捕獲大量的鮮活威脅情報，實時感知威脅。