威脅告警:大量ubnt設(shè)備被植入后門
本文詳細(xì)闡述了:發(fā)現(xiàn)被******��、***行為分析�、反攻***服務(wù)器、成功獲取權(quán)限并完成取證的全部過程��。這樣的***現(xiàn)在也非常多�,特別是針對特定系統(tǒng)的定向(但是“盲掃”)***。
近期���,安恒安全研究團(tuán)隊(duì)監(jiān)控到大量利用弱口令對22端口進(jìn)行暴力破解的***����。經(jīng)過安全團(tuán)隊(duì)詳細(xì)分析,我們發(fā)現(xiàn)網(wǎng)絡(luò)上大量的ubnt設(shè)備的存在弱口令����,并且已經(jīng)被***使用自動化工具植入了后門。安恒APT網(wǎng)絡(luò)預(yù)警平臺成功的檢測這次威脅***:
在3月19日�,接到某客戶網(wǎng)絡(luò)故障反饋,安恒工程師聯(lián)系客戶后進(jìn)行遠(yuǎn)程應(yīng)急響����,在客戶的某臺設(shè)備發(fā)現(xiàn)了一些可疑的shell進(jìn)程.
分析發(fā)現(xiàn)這些shell腳本主要的功能是通過wget去下載一些可疑文件并運(yùn)行,最后還刪除下載的文件��,造成了后期取證的困難性.
我們嘗試打開涉及到的惡意頁面如下:
從上圖我們可以看出:
可疑 ip:222.*.*.62 的“10010”文件 在一天之內(nèi)下載了 9108 次
可疑 ip:180.*.*.241 的“hope9”文件 在 48 分鐘之內(nèi)下載了 396 次
經(jīng)過分析���,我們發(fā)現(xiàn)兩個(gè)可疑文件都是MIPS架構(gòu)下的DDOS工具��,國外研究人員稱之為“Mr. Black”
主要的功能就是一些常見的GET_Flood����、SYN_Flood�、UDP_Flood等DDOS***方式.
第二天,我們持續(xù)觀察發(fā)現(xiàn)其中的一臺惡意文件的下載量由原來的9108次變成了15171次
一天之內(nèi)增長了6千多次下載量引起了我們高度的重視.
我們通過技術(shù)手段對惡意服務(wù)器進(jìn)行了控制�,通過遠(yuǎn)程桌面進(jìn)入后我們發(fā)現(xiàn)這臺主機(jī)的8000端口與其他很多ip都已經(jīng)建立了網(wǎng)絡(luò)通訊
隨機(jī)打開幾個(gè)ip,發(fā)現(xiàn)都是 ubnt 的設(shè)備���!
進(jìn)行取證時(shí)����,我們在桌面發(fā)現(xiàn)了大量的***軟件
并且非常巧的是***也剛好遠(yuǎn)程登入了這臺機(jī)器
使用netstat查找***IP
發(fā)現(xiàn)了惡意IP:139.201.133.104 ,查詢ip138發(fā)先這個(gè)ip屬于 “四川”
后來����,我們使用工具成功抓出管理員的密碼��,使用administrator的帳號和密碼登入后發(fā)現(xiàn)***正開著遠(yuǎn)程控制工具
從圖片中可以看出:它正在監(jiān)聽端口是 8000���,已經(jīng)被***控制的主機(jī)數(shù)量有 564 臺.
8000端口也是與我們使用“netstat”查看的結(jié)果相符合��!
另外����,當(dāng)使用tcpview查看網(wǎng)絡(luò)連接發(fā)現(xiàn)了��,它還正在***其他IP的 9200端口.
9200端口是Elasticsearch?服務(wù)開啟的端口�,由于Elasticsearch舊版本存在遠(yuǎn)程命令執(zhí)行的漏洞,所以可以被***利用***��,其POC如下:
詳情見:http://www.wooyun.org/bugs/wooyun-2014-062127
所以***還使用了9200端口去植入后門(linux架構(gòu)的蠕蟲)
注意這里***的是“Elasticsearch”服務(wù)器��,其植入過程如下:
取證回來的相關(guān)的惡意文件后,我們發(fā)現(xiàn)了植入ubnt設(shè)備的工具是叫“l(fā)inux命令批量執(zhí)行工具”
這里的植入惡意程序的命令和在與我們在客戶設(shè)備上見到的是一樣的!
推測出整個(gè)***流程如下:
暴力破解存在弱口令的22端口
調(diào)用shell命令植入后門
***發(fā)送指令到被***的設(shè)備后進(jìn)行***
我們從***的掃描后保存的結(jié)果來看����,大量的ubnt設(shè)備存在弱口令,(***暴力破解時(shí)使用的用戶名和密碼就是ubnt設(shè)備出廠時(shí)的默認(rèn)密碼?��。?/p>
我們隨機(jī)嘗試了幾個(gè)設(shè)備發(fā)現(xiàn)都存在默認(rèn)弱口令�,并且多臺設(shè)備被多次對植入不同URL的蠕蟲
初步統(tǒng)計(jì)的URL包括過有:
并且包含惡意URL不停在變化(備注:并未全部包括���!)
后期經(jīng)過我們分析發(fā)現(xiàn)惡意文件發(fā)現(xiàn)里面存在不少包含有*.f3322.org 和*.f3322.net網(wǎng)站作為了惡意服務(wù)的控制端域名,這兩個(gè)域名的注冊信息與pubyu.com(前生是3322.org)是同一家注冊���,都是提供免費(fèi)的二級域名的注冊服務(wù),因此備受***喜歡��!
安恒安全團(tuán)隊(duì)再次提醒廣大客戶一定要做安全意識教育��,杜絕各種弱口令����、默認(rèn)口令的事情發(fā)生。另外物聯(lián)網(wǎng)飛速發(fā)展的今天����,個(gè)人計(jì)算機(jī)可能不再是遭受***侵入的主要對象了�,一切與網(wǎng)絡(luò)相連的設(shè)備都可能被***們侵入��,各大傳統(tǒng)設(shè)備廠商也應(yīng)該肩負(fù)起保護(hù)客戶利益的責(zé)任�!
