GPON

GPON 漏洞的在野利用(三)——Mettle、Hajime、Mirai、Omni、Imgay、TheMoon

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。 [更新 2018-05-21 17:30] 这场GPON的聚会看起来永远不会结束了,现在 TheMoon 僵尸网络家族也开始加入了。文中增加了相关的描述。特别值得说明的,TheMoon僵尸网络所使用的攻击漏洞此前并没有批露过,看起来像是个 0day,我们选择不公开攻击载荷的详细内容。另外我们选择了两个版本的 GPON 家用路由器,TheMoon使用的攻击载荷均能成功运行。 我们在之前的系列文章 一 和 二 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori,等等。这些各路僵尸网络一拥而上,争抢地盘,w为 IoT 僵尸网络研究者们提供了一个绝佳的近距离观察机会。 在我们的观察中,一个有趣的地方是各僵尸网络的漏洞利用代码均只能影响一小部分(
  • Hui Wang
    Hui Wang
11 min read
Mirai

GPON 漏洞的在野利用(二)——Satori 僵尸网络

本篇文章由 Rootkiter,yegenshen,Hui Wang 共同撰写。 我们在之前的 文章 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori等等。 在上一篇文章里,我们详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后,通过与安全社区共同的努力,我们累积关闭了muhstik僵尸网络在 OVH 上的12 个IP地址,以及在微软网络上的 1 个IP地址。详细的IP地址列表,见附件 IoC部分。 【更新:值得一提的是,当前绝大部分这些僵尸网络的漏洞利用部分效果是有问题的。根据我们的估计,只有大约2%的特定版本GPON家用路由器受到这些僵尸网络的影响,绝大部分位于墨西哥。这时由于这些僵尸网络使用PoC的方式造成的。】 其他的僵尸网络包括: * Satori:satori是臭名昭著的mirai僵尸网络变种,该恶意代码团伙在2018-05-10 05:51:
  • RootKiter
    RootKiter
9 min read
8291端口告警事件简报
Hajime

8291端口告警事件简报

结论 本次8291扫描事件由更新后的Hajime僵尸网络引起,在新版本中,有两个新的特性: 1. 利用对8291端口的扫描来确定存在'Chimay Red' Stack Clash Remote Code Execution漏洞MikroTik设备。 2. 利用上述漏洞进行蠕虫传播。 起因 北京时间3月25日0点前后,互联网上8291端口出现大量扫描告警。 下午2点左右,蜜罐数据显示该告警可能和 Hajime 有关,初步判断(UPX壳特有幻数+脱壳后样本特征)后,确认该样本为Hajime样本。并在其atk模块中发现了“'Chimay Red' Stack Clash Remote Code Execution”漏洞相关攻击代码。 https://www.exploit-db.com/exploits/44283/ 感染过程 更新后的Hajime除已有传播方式外还可以通过利用“'Chimay
  • RootKiter
    RootKiter
3 min read
en

Is Hajime botnet dead?

概述 我们于近期决定公开一部分Hajime相关的研究结果及数据,供社区成员查阅。本文的核心内容包含以下几点: * Hajime跟踪主页上线。结合Hajime的通讯特点(DHT+uTP),我们实现了对Hajime各Bot节点的长期跟踪,同时还在主页绘制了日活及地域分布情况。 * 通过逆向分析,我们代码级重现了密钥交换过程,在该工作的帮助下,可以随时获取到Hajime网络中的最新模块文件。 * 跟踪过程中,我们发现一个包含x64配置项的config文件,该发现预示着,原作者有意将PC平台作为下一个感染目标(这里也存在原作者密钥泄露的可能性)。 Hajime背景 与 MIRAI 的张扬不同,Hajime是一个低调神秘的Botnet,在诞生后的这一年中并没有给公众传递太多的恐慌。MIRAI在明,Hajime在暗,两者相得益彰。在MIRAI源码公开期间,已经有友商详细阐述过其工作机制。 Hajime的核心特点在于:它是一个P2P botnet,安全人员无法通过黑名单的方式直接堵死 Hajime 的指令传输渠道,达到遏制的目的。所以,其一旦广泛传播开便极难彻底清除。
  • RootKiter
    RootKiter
10 min read