GPON

GPON 漏洞的在野利用(三)——Mettle、Hajime、Mirai、Omni、Imgay、TheMoon

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。 [更新 2018-05-21 17:30] 这场GPON的聚会看起来永远不会结束了,现在 TheMoon 僵尸网络家族也开始加入了。文中增加了相关的描述。特别值得说明的,TheMoon僵尸网络所使用的攻击漏洞此前并没有批露过,看起来像是个 0day,我们选择不公开攻击载荷的详细内容。另外我们选择了两个版本的 GPON 家用路由器,TheMoon使用的攻击载荷均能成功运行。 我们在之前的系列文章 一 和 二 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori,等等。这些各路僵尸网络一拥而上,争抢地盘,w为 IoT 僵尸网络研究者们提供了一个绝佳的近距离观察机会。 在我们的观察中,一个有趣的地方是各僵尸网络的漏洞利用代码均只能影响一小部分(
  • Hui Wang
    Hui Wang
11 min read
Mirai

GPON 漏洞的在野利用(二)——Satori 僵尸网络

本篇文章由 Rootkiter,yegenshen,Hui Wang 共同撰写。 我们在之前的 文章 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori等等。 在上一篇文章里,我们详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后,通过与安全社区共同的努力,我们累积关闭了muhstik僵尸网络在 OVH 上的12 个IP地址,以及在微软网络上的 1 个IP地址。详细的IP地址列表,见附件 IoC部分。 【更新:值得一提的是,当前绝大部分这些僵尸网络的漏洞利用部分效果是有问题的。根据我们的估计,只有大约2%的特定版本GPON家用路由器受到这些僵尸网络的影响,绝大部分位于墨西哥。这时由于这些僵尸网络使用PoC的方式造成的。】 其他的僵尸网络包括: * Satori:satori是臭名昭著的mirai僵尸网络变种,该恶意代码团伙在2018-05-10 05:51:
  • RootKiter
    RootKiter
9 min read