引言

　　近日騰訊反病毒實驗室蜜罐系統監控到大量名為Okiru(satori)的IoT蠕蟲活動情況。不同于傳統的Mirai病毒利用弱密碼傳播，該蠕蟲使用了華為路由器0day漏洞進行大規模傳播，無需獲得密碼就能夠控制受害設備，然后從感染設備上發起第二輪的網絡攻擊。鑒于Okiru的危害性較強，攻擊范圍較廣，本文會結合蜜罐捕獲的攻擊證據對該蠕蟲進行技術分析，重點分析Okiru是如何利用0day漏洞進行傳播的。

　　一、Kill Chain

　　本次用于分析的Okiru蠕蟲橫跨各種IoT平臺有ARM, MIPS, i386, x64, sparc。

　　首先樣本表現出極強的對抗性，一但運行就會將自身刪除。

　　接著樣本會使用socket, bind, listen制造一個后門端口1400. 然后樣本操作了/dev/watchdog文件，該文件是IoT設備獨有的看門狗設備。樣本繼續會向隨機地址的23端口發送telnet數據包，試圖進行傳統的弱密碼爆破。

　　在騰訊哈勃向VirusTotal提交的動態日志中，也能觀察到大量的針對23端口的攻擊信息。

　　值得注意的是，該樣本對弱密碼對進行了混淆操作，避免在病毒體內包含root:admin這樣的特征字符串。從下圖可以看出root被混淆成uhhs。

　　從加密算法上看，只使用了簡單的XOR加密。

　　關于連接CC服務器方面，樣本非常狡猾。我們觀察到樣本連接了176.123.30.27：7645端口。在PassiveTotal上顯示該IP來自歐洲的摩爾多瓦。

　　其次在VirusTotal上顯示，該IP還作為了病毒文件的分發服務器。

　　最后在樣本的資源文件中還隱藏了一個CC域名：network.bigbotpein.com，但是沒有觀察到相關的活動信息。

　　二、0day分析

　　該樣本不同于普通的弱密碼爆破型蠕蟲，它使用了針對華為路由器的0day漏洞進行傳播，這里會對該漏洞進行技術分析。目前華為已經對漏洞（CVE-2017-17215）進行了修補，請相關用戶及時升級。

　　首先這個漏洞屬于遠程執行漏洞，即攻擊者只需要能夠向受害設備發送網絡請求，就會執行攻擊者指定的命令。其次漏洞利用的方式是命令注入，就是程序對輸入的請求沒有進行嚴格驗證，導致攻擊者精心構造的命令被受害設備執行了。

　　有漏洞的服務，開啟了37215端口，該端口是華為路由器UPnP的服務端口，從下圖exp中可以看出，攻擊者試圖訪問HuaweiHomeGateway上的DeviceUpgrade服務，利用命令注入攻擊，將payload 注入到了 里面。Payload就是簡單的利用wget下載蠕蟲文件，然后執行。這里除了命令注入還利用了大量的0×22字符，即雙引號，試圖對認證字符進行截斷，繞過認證過程。

　　最后下載的病毒樣本，不光包括本平臺的，還包括了ARM，MIPS等多種平臺的樣本?？梢娫撊湎x會在不同種類的IoT平臺上進行交叉傳播。

　　三、1day分析

　　樣本除了使用華為設備的0day漏洞進行傳播外，還使用了一個古老的漏洞（CVE-2014-8361），該漏洞針對的是Realtek SDK中的UPnP服務（52869端口）。由于該漏洞暴露的時間比較舊，技術手段同屬于命令注入，這里就不進行詳細分析了。下圖是樣本中的exp。

　　四、危害性分析

　　在zoomeye和shodan中搜索華為設備，全球出現了兩千萬的設備，都有被攻擊的風險?？梢娽槍oT的蠕蟲攻擊帶來的危害是非常大的。

　　五、蜜罐產品介紹

　　在捕獲Okiru的過程中，騰訊反病毒實驗室的蜜罐系統起到了非常重要的作用。其中實驗室同清華大學合作的學術論文《一種用于惡意軟件取證的IoT蜜罐系統》，發表于AVAR亞洲反病毒大會，論文揭示了有越來越多的不法分子盯上存在安全缺陷的各類IoT設備，企圖發動預謀攻擊行為的趨勢，并提出利用蜜罐系統對此類攻擊進行監控和取證的解決方案。這次Okiru蠕蟲的捕獲，從現實環境中驗證了論文中提出的觀點。

　　騰訊蜜罐系統是騰訊公司反病毒實驗室研發的一款網絡攻擊和惡意代碼捕獲系統。該系統能夠為威脅情報 、攻擊溯源和態勢感知等需求提供及時真實和詳實的數據支持，符合要求的數據可以作為網絡攻擊活動的數字證據。

　　騰訊蜜罐系統支持傳統PC設備，新興的IoT設備另外還能夠支持定制化設備，可以支持在公有云、私有云和IoT硬件等多種環境下綜合部署。在全網部署實施后能夠實時監控網絡攻擊事件，為攻擊預警提供量化建議，為攻擊溯源提供高質量的數字證據。

　　下圖是蜜罐系統監控到的ssh登陸告警行為。

　　不僅僅是普通的ssh弱密碼爆破攻擊，蜜罐還能對特殊攻擊進行攻擊取證和攻擊溯源。

　　最后蜜罐系統能夠基于大數據統計，能夠給出攻擊的統計圖表。

　　六、總結

　　本文針對騰訊反病毒實驗室的蜜罐系統捕獲的Okiru蠕蟲攻擊進行了技術分析，詳細分析了蠕蟲利用路由設備的0day漏洞進行傳播的過程。從該蠕蟲暴露出的信息可以看出，針對IoT設備的攻擊方式已經從初級的弱密碼爆破手段升級成為技術難度更高的漏洞利用手段。隨著攻擊手段的提高，相應的防御策略需要進行調整，才能更好的進行預防。在捕獲IoT新型攻擊方面，蜜罐能夠提供準確的攻擊證據，包括樣本文件、CC服務器域名和地址、網絡流量和漏洞利用的exp等信息，對攻擊事件的響應起到了重要作用?！?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇