重點(diǎn)關(guān)注
漏洞公告
惡意代碼
關(guān)于Moobot僵尸網(wǎng)絡(luò)利用UNIXCCTV DVR在野0day漏洞的分析報(bào)告
一、 概述
Moobot是一基于Mirai開(kāi)發(fā)的僵尸網(wǎng)絡(luò)家族,自從其出現(xiàn)就一直很活躍,并且擁有0day漏洞利用的能力。本文主要介紹Moobot利用UNIXCCTV DVR/NVR視頻監(jiān)控設(shè)備在野0day漏洞的情況。
2020年6月9日,CNCERT和360首次捕獲到針對(duì)該漏洞的探測(cè)掃描;2020年6月24日,首次捕獲利用該漏洞的Moobot樣本;2020年8月24日,廠(chǎng)商發(fā)布針對(duì)該漏洞的補(bǔ)丁。友情提醒此類(lèi)設(shè)備的用戶(hù)及時(shí)更新設(shè)備固件。
二、 漏洞分析
該漏洞是遠(yuǎn)程命令注入漏洞。漏洞位置為設(shè)備gui程序監(jiān)聽(tīng)的8000端口(驗(yàn)證固件版本:ALL265_unix_2.3.7.2B.fwr),根據(jù)設(shè)備手冊(cè)我們得知,該端口為DVR Watch,Search,Setup功能默認(rèn)監(jiān)聽(tīng)端口。該端口具有可遠(yuǎn)程更新系統(tǒng)時(shí)間的功能,此功能實(shí)際由gui程序調(diào)用系統(tǒng)命令nptdate實(shí)現(xiàn)。漏洞由此觸發(fā),gui程序執(zhí)行ntpdate命令時(shí)沒(méi)有對(duì)NTP server參數(shù)進(jìn)行檢查,導(dǎo)致命令注入漏洞。例如構(gòu)造此條命令(ntpdate -d -t 1 time.nist.gov& whoami)將導(dǎo)致whoami命令被執(zhí)行。
通過(guò)掃描全網(wǎng)8000端口,我們發(fā)現(xiàn)6k左右的在線(xiàn)設(shè)備。絕大部分的設(shè)備都在美國(guó)。已知受影響的設(shè)備型號(hào)包括:PVT-N5UNIXDVR 1、PVT-8MUNIXDVR 1、NVST-ILUNIXDVR 1、25 NVST-ILUNIXNVR 1、Magic-U-8M5UNIXDVR 1、NVST-IPUNIXNVR 1、NVST-IPUNIXDVR 1、Magic-T-8M5UNIXDVR 1、HD-Analog3RDVR 1、Magic-QXUNIXDVR 1、Magic-U-8M5UNIXDVR 2、PVT-8MUNIXDVR、NVR3RGPardisNVR、Magic-U-8M5UNIXBoca DVR、MER-28N16ENEODVR 1、MER-28N08ENEODVR 1等。
三、 漏洞相關(guān)樣本分析
我們捕獲的Moobot樣本主要包括一個(gè)下載者(MD5:af3720d0141d246bd3ede434f7a14dcb)和一個(gè)Moobot變種(MD5:fb96c74e0548bd41621ea0dd98e8b2bb)。下載的主要功能為下載Moobot樣本和實(shí)現(xiàn)持久化。值得一提的是,下載的Moobot樣本是壓縮的,這在一定程度上對(duì)抗了網(wǎng)絡(luò)流量層面對(duì)樣本的直接檢測(cè)。Moobot變種,基于其復(fù)用了LeetHozer的加密方法,我們稱(chēng)之為Moobot_leet。Moobot_leet在主機(jī)行為層面和Mirai很相似,并無(wú)亮點(diǎn),因此這方面不再細(xì)述;網(wǎng)絡(luò)流量層面采用Tor Proxy,樣本內(nèi)嵌了大量的代理節(jié)點(diǎn),而且Tor-C2被加密。
下文將著重介紹Moobot變種加密方法和通信協(xié)議。
(一)加密方法
Moobot_leet將Tor-C2分成了prefix(16 bytes),suffix(7 bytes)倆部分,分別存在樣本的不同位置,采用LeetHozer的加密方法,需要合并才能解密出正確的Tor-C2。
解密方法如下:
以prefix(0D 02 50 08 10 18 12 06 17 17 61 77 7A 79 6A 97),suffix(CC 81 88 BB BD B8 DE)為例,拼接得到ciphertext(0D 02 50 08 10 18 12 06 17 17 61 77 7A 79 6A 97 CC 81 88 BB BD B8 DE),解密可以得到Tor-C2為 ol6zbnlduigehodu.onion。比較奇怪的一點(diǎn)是,從代碼層面(random mod 7),可以看出應(yīng)該有7個(gè)Tor-C2,但實(shí)際樣本中只有3個(gè),這會(huì)導(dǎo)致Bot訪(fǎng)問(wèn)非法的Tor-C2。我們猜測(cè)這是一種用來(lái)擾亂安全研究員&對(duì)抗沙箱IOC自動(dòng)抽取系統(tǒng)的手段。
(二)通信協(xié)議
Moobot_leet首先和樣本內(nèi)置的代理節(jié)點(diǎn)建立連接,然后和Tor-C2建立連接,最后走正常的Moobot通信協(xié)議通知C2上線(xiàn),接收C2下發(fā)的攻擊指令。網(wǎng)絡(luò)流量概覽如下:
• 心跳包
Tor-C2:
域名
djq6cvwigo7l7q62.onion:194
dl3ochoifo77lsak.onion:1553
krjn77m6demafp77.onion:6969
mvo4y3vr7xuxhwcf.onion:21
nhez3ihtwxwthjkm.onion:21
ol6zbnlduigehodu.onion:1900
stmptmmm27tco3oh.onion:115
tto6kqp6nsto5din.onion:17
uajl7qmdquxaramd.onion:554
wsvo6jwd3spsb4us.onion:1900
樣本MD5:
MD5
022081bc7f49b4aa5c4b36982390cd97
05764c4d5ec37575d5fd3efe95cf3458
260bda811c00dac88b4f5a35e9939760
30416eae1f1922b28d93be8078b25ba0
348acf45ccb313f6c5d34ca5f68f5e13
3e9ae33e0d5c36f7cd5f576233d83f26
4d785886039cbca5372068377f72da43
565c0456c7fbb393ec483c648155b119
655b56b345799f99b614e23128942b92
7735289d33d14644fea27add188093ea
7988a73a4b5ccb7ca9b98dc633b8c0c6
b2c66c2831173b1117467fdabc78241e
bb27f755238528fc3c6386287a5c74a7
bff215a95f088672ad13933a1de70861
cb428a513275b5e969353596deb7383d
cf3602498c49caa902d87579fd420098
e24dc070a4d90a7b01389de9f2805b2b
fe0488ec71ee04ddb47792cae199595b
下載鏈接: