日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

最近海康威視又一次因自身的漏洞被黑客利用而遭受攻擊。攻擊者可以利用這個漏洞在web服務(wù)器上發(fā)送一些帶有惡意命令的消息，從而發(fā)起命令注入攻擊。

祿勸ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

9 月 18 日，研究人員就披露了海康威視的各種產(chǎn)品被有關(guān)遠程代碼執(zhí)行漏洞攻擊。當時?？低暡糠之a(chǎn)品中的web模塊存在一個命令注入漏洞，由于對輸入?yún)?shù)校驗不充分，攻擊者可以發(fā)送帶有惡意命令的報文到受影響設(shè)備，成功利用此漏洞可以導(dǎo)致命令執(zhí)行，該漏洞很快被命名為 CVE-2021-36260，并在研究人員披露的同一天發(fā)布了針對該漏洞的補丁。不久之后，F(xiàn)ortiGuard Labs 開發(fā)了一個 IPS 簽名來解決這個問題。

在分析過程中，我們觀察到大量有效載荷試圖利用此漏洞來探測設(shè)備狀態(tài)或從受害者那里提取敏感數(shù)據(jù)。特別是一種有效載荷引起了我們的注意。它試圖刪除一個表現(xiàn)出感染行為并執(zhí)行 Moobot 的下載程序，Moobot是一基于Mirai開發(fā)的僵尸網(wǎng)絡(luò)家族，自從其出現(xiàn)就一直很活躍，并且擁有零日漏洞利用的能力。

我們會在本文詳細介紹攻擊者如何通過該漏洞傳播此有效載荷。

漏洞的開發(fā)和傳播

CVE-2021-36260 源于輸入驗證不足，允許未經(jīng)身份驗證的用戶將惡意內(nèi)容注入。

利用 CVE-2021-36260 的流量

我們收集了許多利用此漏洞的有效載荷，并最終找到了一個下載程序。跟蹤流量捕獲后，完整的載荷如下圖所示：

來自 CVE-2021-36260 的有效載荷

首先，因為最終的 Moobot 將被保存為“macHelper”，它首先嘗試刪除任何已經(jīng)命名為“macHelper”的文件。然后它將代碼回傳給“downloader”，這是一個很小的ELF 32位LSB ARM文件。下載程序完成下載后，執(zhí)行參數(shù)為“hikivision”的Moobot。最后，它會更改常用命令，例如“重啟”，以防止管理員在受影響的設(shè)備上調(diào)用重啟。

下載程序

攻擊者利用該漏洞釋放下載程序(SHA256：1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F)。它的任務(wù)就一個——下載僵尸網(wǎng)絡(luò)。它使用“/arm5”URI 表單服務(wù)器 199.195.250[.]233:80 下載惡意軟件，如果下載過程成功，則打印“RAY”。反匯編代碼如下圖所示：

下載程序

通過 IP 地址，我們不僅可以獲取不同架構(gòu)的 moobot 變體，還可以從目錄“/h/”中獲取歷史上出現(xiàn)的惡意軟件。

來自下載程序 IP 的示例列表

Moobot被攻擊者利用

根據(jù)我們的分析，上一階段下載的惡意軟件(SHA256：38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557)是基于Mirai的Moobot。它最明顯的特點是包含數(shù)據(jù)串“w5q6he3dbrsgmclkiu4to18npavj702f”，被用于“rand_alphastr”函數(shù)。它用于創(chuàng)建具有不同目的的隨機字母數(shù)字字符串，例如用于設(shè)置進程名稱或生成用于攻擊的數(shù)據(jù)。

Moobot 的字母數(shù)字字符串函數(shù)

它還有一些來自 Satori 的元素，這是另一個 Mirai 變體僵尸網(wǎng)絡(luò)。它包含一個針對受害者物聯(lián)網(wǎng)設(shè)備的“下載程序”，并在執(zhí)行后打印“9xsspnvgc8aj5pi7m28p”字符串。該變體還使用進程名稱“/usr/sbin*”自我分散，以便在刪除原始文件“macHelper”時看起來像一個正常的進程。Satori僵尸網(wǎng)絡(luò)的創(chuàng)建者是一位名為“Nexus Zeta”的黑客，該僵尸網(wǎng)絡(luò)是2016年10月在線發(fā)布的Mirai物聯(lián)網(wǎng)惡意軟件的一個新變體。該僵尸網(wǎng)絡(luò)迅速擴張的能力絲毫不亞于Mirai僵尸網(wǎng)絡(luò)，短短12個小時內(nèi)就成功激活了超過28萬個不同的IP，影響了數(shù)十萬臺路由器設(shè)備。

Moobot 的代碼片段

由于它是基于Mirai，僵尸網(wǎng)絡(luò)也包含一個數(shù)據(jù)部分來存儲其配置。明文配置可以在與 0x22 異或后解碼：

包含配置的解碼數(shù)據(jù)

從配置中獲取 C2 服務(wù)器 (life.zerobytes[.]cc) 后，它開始發(fā)送heartbeat (\x00\x00) 數(shù)據(jù)包，然后等待來自 C2 服務(wù)器的下一個控制命令。一旦受害系統(tǒng)收到命令，它就會對特定的 IP 地址和端口號發(fā)起 DDoS 攻擊。 DDoS 攻擊流量的一個示例如下所示：

Syn-Flood

Syn-Flood攻擊是當前網(wǎng)絡(luò)上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文，就可能造成目標服務(wù)器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。

DDoS 攻擊命令為 24 字節(jié)，，詳細信息如下圖所示，其中包括Flood攻擊方法和目標 IP/端口。除了SYN Flood，C2服務(wù)器還有其他攻擊命令，比如UDP Flood 0x06，ACK Flood 0x04，ACK+PUSH Flood 0x05。

命令

從嘗試感染?？低暜a(chǎn)品到部署Moobot的完整攻擊場景下圖所示：

攻擊場景

我們還注意到在下圖中一個基于設(shè)備的數(shù)據(jù)包捕獲的DDoS服務(wù)提供商，經(jīng)過追蹤分析，這是一個名為“tianrian”的telegram頻道，該頻道提供 DDoS 服務(wù)。如下圖所示，他們在登錄界面中使用特定字符串“openmeokbye”。該頻道創(chuàng)建于 2021 年 6 月 11 日，并于 8 月開始提供服務(wù)。從聊天頻道我們可以看到服務(wù)還在更新中。用戶應(yīng)該始終注意DDoS攻擊，并對易受攻擊的設(shè)備應(yīng)用補丁。

從受感染設(shè)備捕獲的流量

telegram頻道

總結(jié)

海康威視是全球最大的安防產(chǎn)品及視頻處理技術(shù)和視頻分析技術(shù)供應(yīng)商之一。 CVE-2021-36260 是一個嚴重漏洞，它使?？低暜a(chǎn)品成為 Moobot 的目標。

本文翻譯自：

https://www.fortinet.com/blog/threat-research/mirai-based-botnet-moobot-targets-hikvision-vulnerability

文章名稱：?？低曇蜃陨砺┒幢缓诳屠枚馐芄?
文章源于：http://www.dlmjj.cn/article/djcpips.html