原创 | 关于物联网恶意程序Fetch最新攻击的报告

  • A+
所属分类:安全新闻

本报告由CNCERT物联网安全研究团队与绿盟伏影实验室联合发布

一、概述

近期,CNCERT物联网威胁数据平台中发现了一类特殊的物联网恶意样本:Fetch。该样本中集成了大量的新漏洞利用代码,以及一个最新公布(2020-09-18)的IoT设备漏洞利用链。该样本是Mirai的变种,并一直使用Fetch作为入侵文件的名称,因此我们将此变种命名为Fetch。截至目前我们一共捕获到62个Fetch系列样本。
Fetch是我们发现的Mirai变种家族中漏洞利用更新最快的一类变种,在今年更新了大量的新漏洞用于攻击活动。根据样本分析数据,该家族共集成了39个物联网及Linux相关的漏洞利用、使用了多个攻击链,并更新了多个未知机制发起远程命令执行攻击。我们认为,该样本背后的攻击组织具备快速武器化N-day漏洞的能力。
本报告中接下来披露的漏洞利用链已发布至Metasploit平台,可以预见此类攻击在近期将不断增长。该漏洞利用链主要针对TP-Link云摄像机NC系列,包含NC200,NC210,NC220,NC230,NC250,NC260,NC450等版本。

二、样本攻击链分析

1、新攻击链
在Fetch中使用了已知漏洞CVE-2020-12109进行命令执行,结合CVE-2020-12110可窃取用户名密码等敏感信息,,在此攻击链msf模块发布之前,并未有人具体实现了此漏洞的利用代码。
该利用链利用流程是:
( 1 ) 先使用payload:POST /login.fcgi进行默认口令登录认证绕过;
( 2 ) 再发送payload:
POST /setbonjoursetting.fcgi和POST /setsysname.fcgi(CVE-2020-12109)进行命令执行;
( 3 ) 攻击者可结合CVE-2020-12110解密FTP服务器密码、PPPoE用户名密码、SMTP服务用户名密码、DDNS用户名密码。

原创 | 关于物联网恶意程序Fetch最新攻击的报告

图1  新漏洞利用链代码片段
在该样本被发现之前,仅有人发布CVE-2020-12109漏洞的POC信息以及漏洞原理的简要分析,并未完全指出漏洞的利用思路。因此我们说该样本背后的攻击组织具备快速武器化N-day漏洞的能力。此次披露的攻击链可能被APT攻击组织利用,以较为直接的方式获取敏感数据,且更为隐蔽。
2、旧攻击链
我们在Fetch的最新版本中发现,该家族除使用新披露的攻击链之外,还使用了一个已知的攻击链,该攻击链在2017年10月被公布[i],主要针对TP-Link WR940N WiFi路由器,硬件版本为4。
该利用链利用流程是:
( 1 ) 先使用payload,
Get /userRpm/LoginRpm.html(CVE-2019-6971 TP-Link TL-WR1043ND 2 - Authentication Bypass漏洞)进行登录认证绕过;
( 2 ) 再发送payload,
GET /userRpm/PingIframeRpm.htm(CVE-2017-13772)进行命令执行。

原创 | 关于物联网恶意程序Fetch最新攻击的报告

图2  旧漏洞利用链代码片段

三、样本中发现的已知漏洞利用

与其他Mirai变种相比,Fetch中新漏洞的集成程度远高于其它。我们在Fetch系列样本中发现了一系列最新的针对摄像头、家用网关固件和web系统的最新的漏洞利用,同时也包括一些老旧的RCE漏洞利用。以下为在Fetch中发现的漏洞利用信息。

原创 | 关于物联网恶意程序Fetch最新攻击的报告

四、IOC


样本hash:

dff2ae35306d55672a77fcf25acec68e0de1e33cbabe20f9388c531dd216ee21
8ccf2b8d6160307bbafbe9e86aeee505aa01fd435467312bf4daa1d8bacb06e9
dff2ae35306d55672a77fcf25acec68e0de1e33cbabe20f9388c531dd216ee21

cd51bd5d81611b8d071c5a2e640fbd01227ae6365fe29e4017e1f81db5604525

C&C地址:

197.242.239.185

78.142.18.20

iotsecurity.xyz

更多IOC信息请联系:罗冰 010-82992195


转载请注明来自:关键基础设施安全应急响应中心

原创 | 关于物联网恶意程序Fetch最新攻击的报告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: