Mozi僵尸网络可攻击华为、中兴IoT设备

admin 2022年1月10日11:26:46安全新闻评论30 views2170字阅读7分14秒阅读模式

Mozi僵尸网络可攻击华为、中兴IoT设备

Mozi是一个使用类BitTorrent网络感染物联网设备的P2P僵尸网络。Mozi利用弱Telnet口令和近10个未修复的iot设备漏洞来执行DDoS攻击、数据窃取、命令和payload执行。

微软IoT安全研究人员最近发现Mozi 僵尸网络不断进化,已经在Netgear、华为、中兴等厂商的网关上实现了驻留。

感染路由器后,僵尸网络可以通过HTTP 劫持和DNS 期盼来发起中间人攻击以黑掉终端,并部署勒索软件。图1是Mozi僵尸网络中利用的漏洞和使用的驻留技术。

Mozi僵尸网络可攻击华为、中兴IoT设备

图 1: Mozi僵尸网络攻击流

Mozi僵尸网络可攻击华为、中兴IoT设备
新驻留功能

除了已知的P2P和DOS功能外,研究人员还发现Mozi 僵尸网络的多个新功能。通过攻击Netgear、华为、中兴网关,恶意软件采取措施来增加设备重启后驻留的可能性,或被其他恶意软件干扰的可能性。

实现提权驻留

恶意软件有一个特殊的行为就是检查/overlay 文件夹的检查,以及恶意软件是否有/etc文件夹的写权限。本例,恶意软件会利用CVE-2015-1328漏洞。

成功利用该漏洞使得恶意软件具有以下文件夹的访问权限:

/etc/rc.d

/etc/init.d

然后会执行以下动作:

· 在这些文件夹中放置名为S95Baby.sh的脚本文件。

· 脚本运行/usr/networks文件或/user/networktmp文件。这些都是可执行文件的副本。

· 如果没有权限就将脚本加入到/etc/rcS.d和/etc/rc.local中。

ZTE设备

对于中兴设备,恶意软件会检查/usr/local/ct文件夹是否存在,这表明设备是中兴路由器设备。然后会执行以下动作:

复制其他实例(/usr/networks) 到/usr/local/ct/ctadmin0 中,这将为恶意软件提供驻留功能;

删除文件/home/httpd/web_shell_cmd.gch。该文件可以用于通过CVE-2014-2321漏洞利用获取访问权限,删除的目的是以防下一步攻击活动。

执行以下命令:

sendcmd 1 DB set MgtServer 0 Tr069Enable 1

sendcmd 1 DB set PdtMiddleWare 0 Tr069Enable 0

sendcmd 1 DB set MgtServer 0 URL http://127.0.0.1

sendcmd 1 DB set MgtServer 0 UserName notitms

sendcmd 1 DB set MgtServer 0 ConnectionRequestUsername notitms

sendcmd 1 DB set MgtServer 0 PeriodicInformEnable 0

sendcmd 1 DB save

华为设备

执行以下命令会修改密码和禁用华为路由器设备的管理服务器,还可以预防路由器通过管理服务器访问设备:

cfgtool set /mnt/jffs2/hw_ctree.xml

InternetGatewayDevice.ManagementServer URL http://127.0.0.1

cfgtool set /mnt/jffs2/hw_ctree.xml

InternetGatewayDevice.ManagementServer ConnectionRequestPassword acsMozi

为提供额外一层的驻留,恶意软件还会创建以下文件:

/mnt/jffs2/Equip.sh

/mnt/jffs2/wifi.sh

/mnt/jffs2/WifiPerformance.sh

预防远程访问

恶意软件会拦截以下TCP端口:

· 23—Telnet

· 2323—Telnet alternate port

· 7547—Tr-069 port

· 35000—Tr-069 port on Netgear devices

· 50023—Management port on Huawei devices

· 58000—Unknown usage

这些端口可以用来获取设备的远程访问。关闭端口可以增加恶意软件存活的可能性。

脚本注入器

脚本注入器可以扫描文件系统中除以下路径外的.sh文件:

/tmp /dev /var /lib /haha /proc /sys

并在每个文件中都加一行。这一行可以让脚本从/usr/networks运行恶意软件的副本。这可以增加恶意软件在不同设备上的存活率。

流量注入和DNS欺骗

恶意软件可以从分布式哈希表(DHT,distributed hash table)网络中接收命令。DHT是用于去中心化通信的P2P协议。这些命令会接收和保存在一个文件中,其中部分是加密的。该模块只在具有IPv4 转发功能的设备上运行。恶意软件还可以检查/proc/sys/net/ipv4/ip_forward 是否等于1。该模块运行在UDP 53和TCP 80端口。

DNS欺骗

Mozi会接收一个非常简单的用于欺骗的DNS名列表。其结构如下:

Mozi僵尸网络可攻击华为、中兴IoT设备

每个DNS请求都会以欺骗的IP会响应。这是一种将流量重定向到攻击者基础设施的高效技术。

更多技术分析及来源:https://www.microsoft.com/security/blog/2021/08/19/how-to-proactively-defend-against-mozi-iot-botnet/

Mozi僵尸网络可攻击华为、中兴IoT设备

Mozi僵尸网络可攻击华为、中兴IoT设备

本文始发于微信公众号(嘶吼专业版):Mozi僵尸网络可攻击华为、中兴IoT设备

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日11:26:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Mozi僵尸网络可攻击华为、中兴IoT设备 http://cn-sec.com/archives/470373.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: