A+

本报告由CNCERT物联网安全研究团队与绿盟伏影实验室联合发布

一、概述

近期，CNCERT物联网威胁数据平台中发现了一类特殊的物联网恶意样本:Fetch。该样本中集成了大量的新漏洞利用代码，以及一个最新公布（2020-09-18）的IoT设备漏洞利用链。该样本是Mirai的变种，并一直使用Fetch作为入侵文件的名称，因此我们将此变种命名为Fetch。截至目前我们一共捕获到62个Fetch系列样本。

Fetch是我们发现的Mirai变种家族中漏洞利用更新最快的一类变种，在今年更新了大量的新漏洞用于攻击活动。根据样本分析数据，该家族共集成了39个物联网及Linux相关的漏洞利用、使用了多个攻击链，并更新了多个未知机制发起远程命令执行攻击。我们认为，该样本背后的攻击组织具备快速武器化N-day漏洞的能力。

本报告中接下来披露的漏洞利用链已发布至Metasploit平台，可以预见此类攻击在近期将不断增长。该漏洞利用链主要针对TP-Link云摄像机NC系列，包含NC200，NC210，NC220，NC230，NC250，NC260，NC450等版本。

二、样本攻击链分析

1、新攻击链

在Fetch中使用了已知漏洞CVE-2020-12109进行命令执行，结合CVE-2020-12110可窃取用户名密码等敏感信息，，在此攻击链msf模块发布之前，并未有人具体实现了此漏洞的利用代码。

该利用链利用流程是：

( 1 ) 先使用payload：POST /login.fcgi进行默认口令登录认证绕过；

( 2 ) 再发送payload：

POST /setbonjoursetting.fcgi和POST /setsysname.fcgi（CVE-2020-12109）进行命令执行；

( 3 ) 攻击者可结合CVE-2020-12110解密FTP服务器密码、PPPoE用户名密码、SMTP服务用户名密码、DDNS用户名密码。

原创 | 关于物联网恶意程序Fetch最新攻击的报告

图1 新漏洞利用链代码片段

在该样本被发现之前，仅有人发布CVE-2020-12109漏洞的POC信息以及漏洞原理的简要分析，并未完全指出漏洞的利用思路。因此我们说该样本背后的攻击组织具备快速武器化N-day漏洞的能力。此次披露的攻击链可能被APT攻击组织利用，以较为直接的方式获取敏感数据，且更为隐蔽。

2、旧攻击链

我们在Fetch的最新版本中发现，该家族除使用新披露的攻击链之外，还使用了一个已知的攻击链，该攻击链在2017年10月被公布[i]，主要针对TP-Link WR940N WiFi路由器，硬件版本为4。

该利用链利用流程是：

( 1 ) 先使用payload，

Get /userRpm/LoginRpm.html（CVE-2019-6971 TP-Link TL-WR1043ND 2 - Authentication Bypass漏洞）进行登录认证绕过；

( 2 ) 再发送payload，

GET /userRpm/PingIframeRpm.htm（CVE-2017-13772）进行命令执行。

原创 | 关于物联网恶意程序Fetch最新攻击的报告

图2 旧漏洞利用链代码片段

三、样本中发现的已知漏洞利用

与其他Mirai变种相比，Fetch中新漏洞的集成程度远高于其它。我们在Fetch系列样本中发现了一系列最新的针对摄像头、家用网关固件和web系统的最新的漏洞利用，同时也包括一些老旧的RCE漏洞利用。以下为在Fetch中发现的漏洞利用信息。

原创 | 关于物联网恶意程序Fetch最新攻击的报告

四、IOC

样本hash：

dff2ae35306d55672a77fcf25acec68e0de1e33cbabe20f9388c531dd216ee21

8ccf2b8d6160307bbafbe9e86aeee505aa01fd435467312bf4daa1d8bacb06e9

dff2ae35306d55672a77fcf25acec68e0de1e33cbabe20f9388c531dd216ee21

cd51bd5d81611b8d071c5a2e640fbd01227ae6365fe29e4017e1f81db5604525

C&C地址：

197.242.239.185

78.142.18.20

iotsecurity.xyz

更多IOC信息请联系：罗冰 010-82992195

转载请注明来自：关键基础设施安全应急响应中心

原创 | 关于物联网恶意程序Fetch最新攻击的报告

本报告由CNCERT物联网安全研究团队与绿盟伏影实验室联合发布

发表评论取消回复

登录 找回密码

登录找回密码