昨天小編說到德國電信斷網(wǎng)事件，導(dǎo)致2千萬固定網(wǎng)絡(luò)用戶中的90萬路由器發(fā)生障礙，今天我們就來分析一下導(dǎo)致此次事件的原因以及可能出現(xiàn)的問題和已經(jīng)存在的問題等。

　　備注：本文是360安全研究員 Li Fengpei原創(chuàng)，轉(zhuǎn)載來自freebuf。如需轉(zhuǎn)載，請標(biāo)注原創(chuàng)作者以及轉(zhuǎn)載地址。

　　前言

　　德國電信在2016年11月28日前后遭遇一次大范圍的網(wǎng)絡(luò)故障。

　　在這次故障中，2千萬固定網(wǎng)絡(luò)用戶中的大約90萬個(gè)路由器發(fā)生故障（約4.5%），并由此導(dǎo)致大面積網(wǎng)絡(luò)訪問受限。

　　很多媒體給出了網(wǎng)絡(luò)受限的示意圖，如下。

　　德國電信進(jìn)一步確認(rèn)了問題是由于路由設(shè)備的維護(hù)界面被暴露在互聯(lián)網(wǎng)上、并且互聯(lián)網(wǎng)上正在發(fā)生針對性的攻擊而導(dǎo)致。

　　德國電信連夜與設(shè)備供應(yīng)商生成了新的升級(jí)包，并且要求客戶如果懷疑受到影響就斷電重啟路由器，之后利用自動(dòng)/手動(dòng)的升級(jí)過程來減輕問題顯然，德國電信還采取了一系列的過濾措施來保證升級(jí)過程不受攻擊影響。

　　德國電信對該事件給出了較為詳細(xì)的描述。

　　https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862

　　按照360網(wǎng)絡(luò)安全研究院對這次事件以及mirai僵尸網(wǎng)絡(luò)的理解，這次事件前后的時(shí)間脈絡(luò)如下（以下均為北京時(shí)間）：

　　1.2016-11-07，kenzo發(fā)布了一個(gè)針對7547端口上路由器等設(shè)備的TR-069/TR-064相關(guān)的安全公告；

　　2.2016-11-26 21:27:23 360網(wǎng)絡(luò)安全研究院首次探測到mirai僵尸網(wǎng)絡(luò)發(fā)起了針對 7547 端口的掃描；

　　3.2016-11-26 ～ 2016-11-28，端口7547上的mirai僵尸網(wǎng)絡(luò)規(guī)模積累到足以影響大面積網(wǎng)絡(luò)；

　　4.2016-11-28 telekom 德國電信累積大約90萬個(gè)路由器被mirai僵尸網(wǎng)絡(luò)的掃描過程打宕，網(wǎng)絡(luò)大面積受影響

　　5.2016-11-28 ～ 至今 telekom 德國電信在自身網(wǎng)絡(luò)范圍內(nèi)采取措施遏制mirai僵尸網(wǎng)絡(luò)的掃描過程。

　　概述

　　眾所周知，mirai的源碼在北京時(shí)間2016-09-30附近泄漏，隨后被托管到GitHub上。

　　自那以后，不管是黑帽子還是白帽子都對mirai的源碼進(jìn)行了大量深入的分析。

　　換句話說，隨著時(shí)間的推移，各路新玩家終將逐漸入場，目前為止我們的觀察也映證了上述觀點(diǎn)。

　　我們已經(jīng)發(fā)現(xiàn)了若干mirai的新變種，例如出現(xiàn)了新的主控域名，或者登錄界面從俄文變?yōu)橛⑽?中文，也有一些明顯還是新玩家摸索階段的設(shè)定，比如將主控域名設(shè)為8.8.8.8或者baidu.com。

　　基于種種mirai變種，我們推測mirai家族對網(wǎng)絡(luò)空間安全的威脅將會(huì)長期持續(xù)，周期也許會(huì)以年為單位計(jì)。

　　11月26日21點(diǎn)27分, 一個(gè)新的變種引起了我們的注意。

　　之前的Mirai各種變種基本都是小改動(dòng)，核心內(nèi)容掃描23和2323端口上弱口令的行為模式?jīng)]有變化.

　　但是這個(gè)變種出現(xiàn)了掃描TCP 端口7547遠(yuǎn)程命令執(zhí)行漏洞的行為，這是利用了最近新公布的一個(gè)安全公告中提到的問題，將感染目標(biāo)轉(zhuǎn)移到支持TR-069/TR-064并錯(cuò)誤暴露TR-064的設(shè)備.

　　bot掃描端口也隨之轉(zhuǎn)移到7547，感染過程利用了TR-064實(shí)現(xiàn)中存在的命令注入問題。

　　該變種仍然會(huì)掃描mirai傳統(tǒng)的端口23/2323，但是使用的弱口令進(jìn)一步精簡到精心挑選的三組密碼。

　　這種變化表明，mirai泄漏源碼已經(jīng)逐步成為成熟的開發(fā)包，一旦有新的（也許是舊的）設(shè)備弱口令被發(fā)現(xiàn)，很快就會(huì)被mirai家族感染。

　　這其中，掃描端口7547而非23和2323、利用遠(yuǎn)程命令執(zhí)行漏洞而非弱口令種植木馬都與既往mirai的行為顯著區(qū)分。

　　另一方面，盡管這個(gè)新變種有若干變化，它仍然重用了mirai的部分代碼，進(jìn)而順帶繼承了mirai代碼中的缺陷，并與既有mirai僵尸網(wǎng)絡(luò)共享控制端基礎(chǔ)設(shè)施。

　　11月27日17點(diǎn)04分,我們監(jiān)測到又出現(xiàn)一個(gè)變種,和26日的新變種類似,這次的變種出現(xiàn)了掃描TCP端口5555的行為。

　　從我們的統(tǒng)計(jì)數(shù)據(jù)上來，這兩個(gè)變種處于異?；钴S的狀態(tài)，同時(shí)從國外合作伙伴的數(shù)據(jù)來看，這兩個(gè)變種的掃描范圍造成了世界范圍的影響，日記錄的活躍掃描源在百萬級(jí)別。

　　鑒于mirai的源碼已經(jīng)公開, 結(jié)合上述兩個(gè)變種的行為,我們深度擔(dān)憂mirai會(huì)成為一個(gè)ddos攻擊庫的母體，通過模塊化對源代碼部分內(nèi)容進(jìn)行更新，就可以隨時(shí)增加對新的漏洞的支持。

　　數(shù)據(jù)更新

　　我們在https://data.netlab.360.com/mirai-scanner提供了對mirai感染設(shè)備的各種統(tǒng)計(jì)和數(shù)據(jù)下載供研究者使用。

　　根據(jù)新觀察到的數(shù)據(jù)，我們更新了data.netlab.360.com上的mirai監(jiān)控頁面，并且將對應(yīng)樣本的md5和域名附錄在文末。

　　對已經(jīng)使用API訪問我們提供bot list的合作者，請重新下載2016-11-26及以后的數(shù)據(jù)以獲得7547及5555端口數(shù)據(jù)的更新。

　　新Mirai變種的僵尸網(wǎng)絡(luò)能力評估

　　目前活躍的所有已知版本的mirai(包括今天報(bào)告的在端口7547和5555的)由于編碼手法問題,導(dǎo)致可以精確定位和標(biāo)示來自mirai的掃描行為。

　　如前所述,我們在2016-11-26首次觀察到7547端口上的新變種，一天后的2016-11-27首次觀察到5555端口上的新變種。

　　在各個(gè)端口上首次發(fā)現(xiàn)掃描時(shí)間對比

　　每日bot規(guī)模增長情況(最右側(cè)的的藍(lán)色和紅色是新增加的這兩個(gè)變種)

　　按照當(dāng)前的增速排名，四個(gè)端口上bot的增長速度分別是：

　　當(dāng)前端口7547上的bot增長速度已經(jīng)遠(yuǎn)超過了已知 端口23/2323上的bot數(shù)量增速。

　　當(dāng)前端口7547上的bot總量已經(jīng)超過3萬；我們從安全社區(qū)合作伙伴處得知，全網(wǎng)潛在的可感染設(shè)備總數(shù)量在3～5百萬之間。

　　這也是促使我們撰寫本blog的原因之一。

　　端口 7547 上bot增速曲線，分解到每十分鐘：

　　上圖顯示，Bot的增速很快就達(dá)到一個(gè)高峰，并且平穩(wěn)的維持在較高水平上。

　　另一方面，在整個(gè)互聯(lián)網(wǎng)的視角來看，端口7547的掃描在2016-11-26日晚間開始有急劇的上升。

　　在新變種的感染bot的地理分布方面，巴西依然遙遙領(lǐng)先，與既有mirai僵尸網(wǎng)絡(luò)的地理分布保持一致。

　　新變種共享了既有mirai僵尸網(wǎng)絡(luò)主控的基礎(chǔ)設(shè)施

　　通過分析和網(wǎng)絡(luò)追蹤，我們得到了端口7547上的mirai變種樣本。進(jìn)一步分析樣本發(fā)現(xiàn)，樣本中的主控有兩組，如下。

　　值得注意的是,這兩組主控都是之前已經(jīng)發(fā)現(xiàn)并跟蹤的mirai僵尸主控。

　　我們最早在2016-11-09就已經(jīng)在其他樣本中發(fā)現(xiàn)了同時(shí)出現(xiàn)兩組主控的情況，并且那兩組主控就是本次新變種中涉及的這兩組。

　　也就是說,這次利用7547漏洞的新變種和之前的mirai最開始的使用者是一組人。

　　*.securityupdates.us *. timeserver.host

　　目前我們可以斷言以下這四組主控背后的控制者是同一組人

　　判定的依據(jù)有下面這些：

　　1.在本次發(fā)現(xiàn)的樣本中（以及最早在2016-11-09發(fā)現(xiàn)的樣本），一個(gè)樣本中同時(shí)出現(xiàn)了securityupdates.us和timeserver.host兩組C&C控制服務(wù)器。

　　2.上述四組域名大量共享IP地址，特別是5.188.232.1/24這個(gè)C類段，幾乎所有的IP地址都擁有完全相同的掃描banner。

　　3.有意思的是,在我們內(nèi)部不久前做的一個(gè)數(shù)據(jù)觀察的可視化圖形中,我們也的確可以看到securityupdates.us和timeserver.host這兩個(gè)主控下的感染bot有較高的重合度，這從另外一個(gè)維度驗(yàn)證了這兩個(gè)主控有一定關(guān)系。

　　新變種與既有mirai僵尸網(wǎng)絡(luò)在bot列表上也有一定覆蓋交叉

　　整體四個(gè)端口 23/2323/5555/7547 的botIP列表也有一定交叉覆蓋。

　　可以看出：

　　1.主要的bot還是僅僅掃描23端口上，占了79%；加上順帶掃描2323端口的11%、以及僅僅掃描2323端口的6.4%，共計(jì)96.4%，這占據(jù)了當(dāng)前mirai僵尸網(wǎng)絡(luò)的絕對大頭；

　　2.僅僅掃描 7547 端口的bot有 3.1%，考慮到當(dāng)前這個(gè)端口上僅工作了3天，mirai的在這個(gè)端口上感染速度仍然是驚人的；

　　3.其他交叉掃描的所有bot合并攻擊占據(jù)0.5%，目前仍然不是主體。

　　新變種的設(shè)備特性

　　我們匯總了手頭所有7547相關(guān)的botIP列表，共計(jì)46653個(gè)。我們嘗試讀取這些IP的設(shè)備型號(hào)，共計(jì)獲得了5976個(gè)回應(yīng)。

　　這里的樣本耗損比較大，我們反復(fù)嘗試了多次，相信可以排除網(wǎng)絡(luò)抖動(dòng)情況，剩下的損耗我們歸因?yàn)閙irai；

　　也許是因?yàn)樵O(shè)備上的開放端口被mirai關(guān)閉，也許是因?yàn)樵O(shè)備當(dāng)時(shí)網(wǎng)絡(luò)忙。

　　我們篩選了返回的5976個(gè)回應(yīng)中個(gè)數(shù)超過10個(gè)的細(xì)分類，列出他們的生產(chǎn)廠商（打碼）、型號(hào)列表如下。

　　我們建議這些廠商聯(lián)合他們的客戶一起對上述情況做出適當(dāng)響應(yīng)以減輕mirai的危害程度，但同時(shí)仍然必須強(qiáng)調(diào)這些只是我們能夠看到的冰山一角，也許還需要更多其他設(shè)備廠商一起來做更多的網(wǎng)絡(luò)安全工作。

　　相關(guān)安全公告

　　2016-11-07，kenzo/kenzo2017在devicereversing.wordpress.com上發(fā)布了一個(gè)TR-064相關(guān)的安全公告。原文見：

　　https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/ 理解該公告的技術(shù)細(xì)節(jié)有助于理解mirai新變種的行為。

　　公告中公開了Eir D1000 Modem的一個(gè)配置錯(cuò)誤和一個(gè)命令注入問題。

　　該配置錯(cuò)誤使得原本僅應(yīng)該暴露在LAN一側(cè)的TR-064協(xié)議棧暴露在了WAN一側(cè)；

　　而對命令注入手段的充分利用可以使得攻擊者完全接管設(shè)備。

　　Eir D1000 Moden向互聯(lián)網(wǎng)暴露了端口7547。

　　該端口上運(yùn)行了兩組協(xié)議，TR-069和TR-064，前者設(shè)計(jì)為在WAN上運(yùn)行，而后者僅設(shè)計(jì)為在LAN側(cè)運(yùn)行。

　　正常情況下在互聯(lián)網(wǎng)上無法與TR-064協(xié)議棧交互，但是由于該設(shè)備的錯(cuò)誤配置，該協(xié)議棧被暴露在WAN上，形成一個(gè)攻擊面。

　　公告中提及，在該設(shè)備上可以執(zhí)行TR-064中的多個(gè)命令，包括獲取設(shè)備信息、獲取設(shè)備WiFi密碼、獲取設(shè)備SSID/MAC、設(shè)定時(shí)間服務(wù)器等等。

　　特殊的，在設(shè)定時(shí)間服務(wù)器的時(shí)候存在一個(gè)命令注入漏洞，利用該漏洞可以執(zhí)行該設(shè)備上busybox的諸多命令，比如可以設(shè)定iptables來關(guān)掉設(shè)備上80端口管理員界面的防火墻。

　　而要命的是，管理員界面的登錄密碼，就是前面提到可以獲取的設(shè)備WiFi密碼。

　　組合使用上述配置錯(cuò)誤/漏洞，可以使得攻擊者在WAN側(cè)獲得設(shè)備的完全控制權(quán)。

　　Kenzo在公告中給出了一個(gè)利用的概念驗(yàn)證。

　　該公告中還有其他若干槽點(diǎn)可看。不過我們的注意力集中在網(wǎng)絡(luò)側(cè)的技術(shù)特征，包括：

　　1.開放端口為7547，這意味著新變種的bot需要發(fā)起針對該端口的掃描。

　　2.體系架構(gòu)為MIPS。概念驗(yàn)證中提到的兩個(gè)Targets分別是MIPS的大端和小端。

　　另外在安全社區(qū)的其他信息源中，我們了解到端口5555上也同樣運(yùn)行了TR-069/TR-064協(xié)議，并且有其他mirai變種開始掃描了上述端口。

　　我們的數(shù)據(jù)中，映證了以上關(guān)于端口5555/7547的說法。

　　新mirai變種的感染和植入過程

　　新變種的感染和植入過程已經(jīng)被安全社區(qū)廣泛討論，例如下面的這篇文章，這里不再贅述，讀者可以自行擴(kuò)展閱讀。

　　https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/

　　值得一提的有這么一些地方：

　　1.新變種的樣本覆蓋了多個(gè)平臺(tái)，如下列表:

　　在諸多解釋中，我們選擇相信這可能反映了攻擊者的工程環(huán)境比較成熟，攻擊者已經(jīng)擁有較為成熟的交叉編譯工程環(huán)境，新的掃描方式出現(xiàn)后順手就編譯了多種平臺(tái)樣本。

　　2.精簡所使用的弱口令集合 這一變種里，針對23/2323 端口弱口令字典已經(jīng)精簡到了3條。

　　root xc3511 root vizxv root admin

　　對照下表中已經(jīng)公開的弱口令可知，前述第一對弱口令是針對雄邁設(shè)備的；第二對是針對大華設(shè)備的。

　　第三條適用范圍較廣，沒有明確的指向性。

　　附錄

IOC, MD5dc2464aefa7ba00eeccbd18baceeb9e9 a4487a7b2040de43ba3e0d7468f070c7 238a67e6f9b129680b618a3c579a8c6c a490bb1c9a005bcf8cfe4bdffe7b991f 0dd3e7899183e93e5967e87ac6ea48a9 83bb43a36c49496a96f41926d80ec97d 99f9e7c6d7786555a7d067220b3c0d7d a00a630b5f2c5e142f35c9df7df9f919 b6e0b8327fa3ab5abe761fb627a9cba1

　　域名

　　kernelorg[.]download update[.]kernelorg[.]download securityupdates[.]us check[.]securityupdates[.]us rep[.]securityupdates[.]us timeserver[.]host ntp[.]timeserver[.]host ocalhost[.]host l[.]ocalhost[.]host

　　置頂懸鏡安全實(shí)驗(yàn)室公眾號(hào)，給你最新，最有料的資訊，安全技術(shù)干貨。

　　有料丨有趣丨行業(yè)丨觀點(diǎn)丨