Mozi 是一种点对点 (P2P) 僵尸网络,它使用类似 BitTorrent 的网络来感染物联网设备,例如网络网关和数字视频记录 (DVR)。工作原理是利用弱 telnet 密码和近十几个未修补的物联网漏洞,已被用于进行分布式拒绝服务 (DDoS) 攻击、数据泄露以及命令或有效负载执行。
虽然僵尸网络本身并不新鲜,但微软的物联网安全研究人员最近发现,Mozi 已经进化到可以在 Netgear、华为和中兴通讯制造的网络网关上实现持久性。使用专门适用于每个网关特定架构的巧妙持久性技术来实现这一点。
网络网关是攻击者的一个特别多汁诱惑力强的目标,它们是企业网络的初始接入点的理想选择。攻击者可以通过 Shodan 等扫描工具在互联网上搜索易受攻击的设备,感染它们,进行侦察,然后横向移动以危害更高价值的目标——包括操作技术 (OT) 网络中的信息系统和关键工业控制系统 (ICS) 设备.
通过感染路由器,可以执行中间人 (MITM) 攻击——通过 HTTP 劫持和 DNS 欺骗——来危害端点并部署勒索软件或在 OT 设施中引发安全事故。在下图中,我们仅展示了如何结合使用漏洞和新发现的持久性技术的一个示例。当然,还有更多的可能性。
使用受影响网络网关(Netgear、华为和中兴通讯)的企业和个人应立即采取以下步骤,以确保他们能够抵御本文中提到的攻击:
- 确保设备上使用的所有密码都是使用强密码最佳实践创建的。
- 确保设备已打补丁并且是最新的。
这样做将减少僵尸网络利用的攻击面,并防止攻击者进入他们可以使用新发现的持久性和下面更详细描述的其他漏洞利用技术的位置。
微软方面表示他们的的安全云和所有 Microsoft Defender 产品的智能,包括 微软 365 Defender (XDR)、Azure Sentinel(云原生 SIEM/SOAR)以及适用于 IoT 的 Azure Defender也提供针对这种恶意软件的保护,并且随着威胁形势的不断发展,会不断更新最新的威胁情报。最近对 ReFirm Labs 的收购将进一步增强 Azure Defender for IoT 通过其即将推出的深度固件扫描和分析功能来保护客户的能力,功能将与Azure IoT 中心的设备更新修补功能集成。
新持久化能力的技术描述除了众所周知的广泛的 P2P 和 DDoS 功能外,最近还观察到了 Mozi 僵尸网络的几个新的和独特的功能。
针对 Netgear、华为和中兴网关,恶意软件现在会采取特定行动,以增加在重启或其他恶意软件或响应者干扰其操作的任何其他尝试时存活的机会。
示例:
实现特权持久化
对/overlay文件夹的存在进行特定检查,以及恶意软件是否对文件夹/etc没有写权限。在这种情况下,它会尝试利用CVE-2015-1328。
成功利用该漏洞将授予恶意软件访问以下文件夹的权限:
- /etc/rc.d
- /etc/init.d
然后采取以下措施:
- 将名为S95Baby.sh的脚本文件放置在这些文件夹中。
- 该脚本运行文件/usr/networks或/user/networktmp。这些是可执行文件的副本。
- 它将脚本添加到/etc/rcS.d和/etc/rc.local以防它缺乏特权。
对/usr/local/ct文件夹是否存在进行特定检查;这用作设备是中兴调制解调器/路由器设备的指示器。
采取以下措施:
- 另一个实例(/usr/networks)复制到/usr/local/ct/ctadmin0;这为恶意软件提供了持久性。
- 删除文件/home/httpd/web_shell_cmd.gch。该文件可用于通过漏洞CVE-2014-2321获取访问权限;删除它可以防止未来的攻击。
- 执行以下命令。这些禁用Tr-069及其连接到自动配置服务器 (ACS) 的能力。Tr-069是网络设备远程配置协议;它通常被服务提供商用来配置客户的设备。
sendcmd 1 DB 设置 MgtServer 0 Tr069Enable 1
sendcmd 1 DB 设置 PdtMiddleWare 0 Tr069Enable 0
sendcmd 1 DB 集 MgtServer 0 URL http://127.0.0.1
sendcmd 1 DB 集 MgtServer 0 用户名 notitms
sendcmd 1 DB 集 MgtServer 0 ConnectionRequestUsername notitms
sendcmd 1 DB 设置 MgtServer 0 PeriodicInformEnable 0
sendcmd 1 DB 保存华为设备
执行以下命令更改密码并禁用华为调制解调器/路由器设备的管理服务器。还可以防止其他人通过管理服务器访问设备。
cfgtool 设置/mnt/jffs2/hw_ctree.xml
InternetGatewayDevice.ManagementServer URL http://127.0.0.1
cfgtool 设置/mnt/jffs2/hw_ctree.xml
InternetGatewayDevice.ManagementServer ConnectionRequestPassword acsMozi
为了提供额外的持久性,它还会根据需要创建以下文件,并附加一条指令以从/usr/networks运行其副本。
/mnt/jffs2/Equip.sh
/mnt/jffs2/wifi.sh
/mnt/jffs2/WifiPerformance.sh防止远程访问
恶意软件会阻止以下 TCP 端口:
- 23—远程登录
- 2323—Telnet 备用端口
- 7547—Tr-069 端口
- 35000—Netgear 设备上的 Tr-069 端口
- 50023——华为设备的管理端口
- 58000 - 未知用法
这些端口用于获得对设备的远程访问。
脚本感染者扫描文件系统中的.sh文件,不包括以下路径:
/tmp /dev /var /lib /haha /proc /sys
向每个文件附加一行。该行指示脚本从/usr/networks运行恶意软件的副本。这增加了它在各种设备上的生存机会。
流量注入和 DNS 欺骗功能恶意软件从其分布式哈希表 (DHT) 网络接收命令。后者是一种用于去中心化通信的 P2P 协议。命令被接收并存储在一个文件中,其中的部分是加密的。该模块仅适用于支持 IPv4 转发的设备。它检查/proc/sys/net/ipv4/ip_forward是否设置为 1;这种积极的验证是路由器和网关的特征。该模块适用于端口 UDP 53 (DNS) 和 TCP 80 (HTTP)。
配置命令[hi] – 命令的存在表明它需要使用 MiTM 模块。
[set] – 包含描述如何使用 MiTM 模块的加密部分。
命令 | 说明 |
[ss] | 机器人角色 |
[ssx] | 启用/禁用标签 [ss] |
[CPU] | CPU架构 |
[CPU] | 启用/禁用标签 [cpu] |
[nd] | 新的 DHT 节点 |
[hp] | DHT 节点哈希前缀 |
[atk] | DDoS 攻击类型 |
[ver] | DHT协议中V部分的值 |
[sv] | 更新配置 |
[ud] | 更新机器人 |
[dr] | 从指定的 URL 下载并执行有效负载 |
[rn] | 执行指定命令 |
[dip] | ip:port 下载墨子bot |
[idp] | 举报机器人 |
[count] | 用于报告机器人的 URL |
DNS欺骗
Mozi 会收到一个非常简单的 DNS 名称列表,然后对其进行欺骗。其结构如下:
<DNS 欺骗>:<IP 欺骗>
每个 DNS 请求都使用欺骗性 IP 进行应答。这是一种将流量重定向到攻击者基础设施的有效技术。
HTTP 会话劫持这部分 MITM 功能负责劫持 HTTP 会话。并非每个 HTTP 请求都被处理。有几个条件使它有资格被劫持,其中大部分是为了限制模块的“噪音水平”,以降低它被网络防御者发现的机会。
以下是一些规则:
- 仅适用于 HTTP GET 请求。意味着表单和更复杂的请求将被忽略。
- 配置中的随机数表示注入多少查询。表明攻击者了解隐藏此功能的重要性。
- 一些域被忽略,最有可能是为了避免干扰某些类型设备的正常运行或避免被各种安全对策检测到。
- 只会欺骗外部流量;LAN 内的 HTTP 请求将被忽略。
- 进行测试以验证 URL 不包含字符串“veri=20190909” ——这样做是为了防止注入已经注入的页面。
- 返回从预定义的响应列表派生的随机 HTTP 响应。有九种不同类型的劫持;劫持的具体类型及其参数来源于配置文件。以下是这些劫持技术的一些示例。
- 一些欺骗通过使用 HTTP Location 标头的重定向发生,如下所示。
示例 1:使用 HTTP Location 标头通过重定向进行欺骗。这应该在没有任何用户交互的情况下自动重定向。
示例2:一种只注入JavaScript的劫持方法;它是为评估响应的 ajax 调用而设计的,因此此劫持方法将向页面中注入一个新脚本。
防范 Mozi 恶意软件Microsoft 安全解决方案已经更新以保护、检测和响应 Mozi 及其增强功能。
客户可以使用Microsoft Defender for Endpoint 中的网络设备发现功能来发现其 IT 网络上受影响的 Internet 网关并运行漏洞评估。此外,Azure Defender for IoT的无代理网络层功能可用于对其 OT 网络上的 IoT 和 OT 设备执行持续资产发现、漏洞管理和威胁检测。此解决方案可以快速部署(通常每个站点不到一天),并且可用于本地和云连接环境。
Defender for IoT 还与Azure Sentinel紧密集成,它提供了整个企业的鸟瞰图——利用 AI 和自动化剧本来检测和响应经常跨越 IT 和 OT 边界的多阶段攻击。
除了通过物联网/OT 感知行为分析检测有针对性的攻击和野外生存 (LOTL) 策略外,物联网防御者还整合了来自微软全球安全专家团队使用人工智能和机器学习。这有助于确保我们的客户持续受到保护,免受新的和现有的威胁。
虽然我们提供了许多解决方案,但在受影响的 Internet 网关上实施上述“指导:主动防御”部分中的每条建议仍然至关重要,以防止它们成为攻击的载体。
若要详细了解我们的集成 SIEM/XDR 解决方案与适用于 IoT 的 Azure Defender 相结合如何帮助保护您的组织,请参阅以下资源:
- 物联网 Azure Defender
- 适用于 IoT 的 Azure Defender 概述
- 蔚蓝哨兵
- Azure Sentinel 概述
- 微软 365 后卫
- 概述 微软 365 后卫
- Microsoft Defender for Endpoint 的设备发现概述和 微软 365 后卫
参考来源:
https://www.microsoft.com/security/blog/2021/08/19/how-to-proactively-defend-against-mozi-iot-botnet/
