2016-11-29 10:58:17
来源:isc.sans 作者:安全客
阅读:8732次
点赞(0)
收藏
事件概述
上周末数百万德国网民遭遇一系列的网络中断,究其原因是一次失败的家用路由器劫持。德国电信(Deutsche Telekom)的2000万用户中有90万用户收到本次网络中断影响,从上周日一直持续到本周一。本周一德国电信发布的声明中表明本轮攻击主要是为了进一步扩大感染,相信针对联网设备的更大型攻击将会在最近1个月内发生。
在过去24小时内,奥地利的TR-069路由器流量大幅增加。通过Shodan搜索,在奥地利开放7547端口的设备可以到达53000个。
我们目前看到的大多数流量来自其他用户的DSL调制解调器,其中很多来自巴西。
德国电信现在为受影响的路由器提供固件更新。
新版固件地址:
https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-921v/firmware-zum-speedport-w-921v
建议受影响的用户关闭电源,然后30秒后重新启动,之后路由器会从Telekom服务器检索新固件。
临时解决办法
如果你怀疑你的路由器可能受到本次漏洞影响,你可以重启路由器并检查是否开放了7547端口,如果开放了该端口请在路由器上对该端口进行访问限制。
但如果你的路由器已经感染,路由器将不再监听7547端口,你可以选择更新最新的官方固件并进行初始化操作,以免受该漏洞的危害。
事态更新
在运营商对旧的攻击地址:l.ocalhost.host进行了访问限制后,攻击者开始改用:timeserver.host和ntp.timerserver.host这两个域名进行攻击。
这两个主机名都解析到了:176.74.176.187(感谢Franceso)。在我们的蜜罐中还观察到了更多的恶意域名,请参阅下面的信息。
在最近几天,对7547端口的攻击大大增加。这些扫描似乎利用了流行的DSL路由器中的漏洞。这个问题可能已经导致德国ISP运营商德国电信出现严重问题,并可能影响其他人(考虑到美国可能也会在未来几周受影响)。对于德国电信,Speedport路由器似乎是这次事件的主要问题。
通过Shodan搜索,约4100万个设备开放7547端口。代码看起来是从Mirai派生的,带有对SOAP漏洞的附加扫描。目前,蜜罐IP每5-10分钟收到一个请求。
感谢james提供给我们他捕获到的请求。
分析一下这个请求中的几个有趣的功能
1.它似乎利用了TR-069配置协议中的常见漏洞。
2.Metasploit模块实现漏洞利用漏洞。详细请看:https://www.exploit-db.com/exploits/40740/
3.使用的主机名l.ocalhost.host 并不是localhost;- ).这个主机名解析到了212.92.127.146,但是其他的解析到5.188.232.[1,2,3,4]地址。现在,主机名似乎不能正常解析。但是但它仍然能解析在其他ISP运营商的缓存数据。4.文件“1”是MIPS可执行文件。基于字符串,文件包括上面的SOAP请求,以及检索文件“2”的请求,该文件是“1”的MSB MIPS变体。 ARM似乎还有一个文件“3”。
5.最后,基于字符串,文件启用在防火墙规则,开启7547端口保护路由器免受其他黑客的攻击,并且它停掉了telnet服务限制用户远程刷新路由器固件。
网传:两名黑客出租包含40万设备的Mirai僵尸网络
出售僵尸网络的两名黑客叫BestBuy 和 Popopret,他们被认为与 GovRAT恶意程序有关联,该恶意程序被用于从多家美国公司内部窃取数据。他们的DDoS租赁服务并不便宜,租赁5万设备组成的僵尸网络两周的费用在3千到4千美元。但是不得不说有了这样的攻击资源购买渠道,未来使用IOT设备进行拒绝服务攻击的事件会越来越多。
未确认易受攻击路由器列表
- Eir D1000 Wireless Router (rebranded Zyxel Modem used by Irish ISP Eir)
- Speedport Router (Deutsche Telekom)
涉及的恶意下载地址
http://5.8.65.5/1 http://5.8.65.5/2 http://l.ocalhost.host/1 http://l.ocalhost.host/2 http://l.ocalhost.host/3 http://l.ocalhost.host/x.sh http://p.ocalhost.host/x.sh http://timeserver.host/1 http://ntp.timerserver.host/1 http://tr069.pw/1 http://tr069.pw/2SHA256 哈希 (文件 1-7)
7e84a8a74e93e567a6e7f781ab5764fe3bbc12c868b89e5c5c79924d5d5742e21 7e84a8a74e93e567a6e7f781ab5764fe3bbc12c868b89e5c5c79924d5d5742e22 1fce697993690d41f75e0e6ed522df49d73a038f7e02733ec239c835579c40bf3 828984d1112f52f7f24bbc2b15d0f4cf2646cd03809e648f0d3121a1bdb834644 c597d3b8f61a5b49049006aff5abfe30af06d8979aaaf65454ad2691ef03943b5 046659391b36a022a48e37bd80ce2c3bd120e3fe786c204128ba32aa8d03a1826 5d4e46b3510679dc49ce295b7f448cd69e952d80ba1450f6800be074992b07cc7文件类型(文件 1-7)
1:ELF32-bitLSBexecutable,MIPS,MIPS-Iversion1(SYSV),staticallylinked,stripped 2:ELF32-bitLSBexecutable,MIPS,MIPS-Iversion1(SYSV),staticallylinked,stripped 3:ELF32-bitLSBexecutable,ARM,version1,staticallylinked,stripped 4:ELF32-bitLSBexecutable,RenesasSH,version1(SYSV),staticallylinked,stripped 5:ELF32-bitMSBexecutable,PowerPCorcisco4500,version1(SYSV),staticallylinked,stripped 6:ELF32-bitMSBexecutable,SPARCversion1(SYSV),staticallylinked,stripped 7:ELF32-bitMSBexecutable,Motorola68020-invalidbyteorder,version1(SYSV),staticallylinked,strippedVirustotal的分析链接
https://virustotal.com/en/file/2548d997fcc8f32e2aa9605e730af81dc18a03b2108971147f0d305b845eb03f/analysis/
https://virustotal.com/en/file/97dd9e460f3946eb0b89ae81a0c3890f529ed47f8bd9fd00f161cde2b5903184/analysis/
感谢Gebhard和Francesco的提供的相关链接和信息。
参考文档
https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/
https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/
【权威发布】从德国断网事件看mirai僵尸网络的演化(新变种和旧主控)(19:00更新)
360网络安全研究院权威发布:http://bobao.360.cn/learning/detail/3236.html
相关文章导读
【漏洞分析】Dlink DIR路由器HNAP登录函数的多个漏洞
【漏洞分析】必虎uRouter无线路由器中惊现多处安全漏洞
【技术分享】Dlink DWR-932B路由器被爆多个安全漏洞
【国际资讯】360攻防实验室:D-link多款路由器存在高危漏洞
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://isc.sans.edu/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759