Cyberium恶意软件托管域锚定Mirai变体活动 扫描漏洞涉及Tenda、华为等 – 作者:中科天齐软件安全中心

AT&T Alien Lab的研究人员发现，Mirai僵尸网络的一个新变种Moobot，正在互联网上扫描Tenda路由器中的CVE-2020-10987远程代码执行(RCE)漏洞。事实证明，它是从一个名为Cyberium的新网络地下恶意软件域中推出的，该域一直锚定大量Mirai变体活动。

在3月底就观察到对Tenda远程代码执行(RCE)漏洞CVE-2020-10987的攻击尝试高峰，这个漏洞可以通过请求URL来识别，其中包括’setUsbUnload’和分配给脆弱参数’ deviceName ‘的有效载荷。此有效负载包含将执行路径更改为临时位置、从恶意软件托管页面获取文件、提供执行权限并执行。

恶意软件盯住多个应用系统漏洞

尽管对CVE-2020-10987漏洞的扫描只持续了一天，但发现同样的恶意软件托管域也涉及到针对其他漏洞的活动：

端口 80 和 8080：Axis SSI RCE。

端口 34567：DVR扫描器尝试默认凭证的Sofia主视频应用程序。

端口 37215：华为家用路由器RCE漏洞 (CVE-2017-17215)。

端口 52869：Realtek SDK Miniigd UPnP SOAP命令执行(CVE-2014-8361)。

所有变体都具有相同的恶意软件托管页面dns.cyberium[.]cc，深入调查发现一些活动的日期至少要追溯到2020年5月。该域托管了几个Mirai变体用于大约一周的持续活动，每个活动都使用Cyberium域下的不同子域页面，一旦攻击终止，相关的子域就无法解析。

在此域可用并传递恶意软件期间，至少发现三种不同的Mirai变体：Moobot、Satori/Fbot 以及与这些僵尸网络无关的其他样本。该域的特点之一是它在Mirai变体之间进行切换，同一URL可能在一天后托管Satori，然后在一周后托管Moobot。

在破坏物联网设备后，恶意代码会连接到Cyberium域以检索用作下载器的bash脚本，该脚本类似于其他Mirai变体。然后脚本尝试下载一个文件名列表(与不同的CPU架构相关联)，执行每个文件名，通过crontab实现持久化，然后删除自身。

Moobot恶意软件

Moobot僵尸网络于2020年4月首次被发现，当时的目标是多种类型的光纤路由器。10月出现一种新型的Moobot僵尸网络变种，目标是脆弱的Docker API。该僵尸网络旨在执行分布式拒绝服务(DDoS)攻击，就像最初的Mirai僵尸程序一样。Moobot僵尸网络的主要区别之一是存在一个在整个代码中多次使用的硬编码字符串。

远程代码执行(RCE)漏洞

恶意软件变体目前只在扫描远程代码执行漏洞，不敢保证下一步是否会对应用系统实施网络攻击。一般出现远程代码执行漏洞，是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口，最常见的如路由器、防火墙、入侵检测等设备的Web管理界面。通过RCE漏洞可以让攻击者直接向后台服务器远程注入操作系统命令或恶意代码，从而控制后台系统。

产生RCE漏洞的根本原因是服务器像php环境版本对可执行变量函数没有做过滤，导致在没有自定义相对路径的情况下就运行命令去执行，从而导致服务器被入侵。但其实这个漏洞在代码阶段通过检测就能被发现。相较于黑盒检测挖掘RCE漏洞难度很大，通过白盒测试如静态代码安全检测，可以查看命令执行变量是否做过滤来发现此漏洞。

而且在代码编写过程中发现问题并修复，可以为企业节省20%成本，而在产品发布后，修改代码缺陷成本则将增加五倍。这也是很多企业正在意识到的一点，因此更加愿意选择利用静态代码分析工具从源头减少bug的出现，减少修改错误的时间与成本。恶意软件无时不刻利用系统漏洞进行网络攻击，维护网络安全也不能有半分松懈，除了在编码阶段使用静态代码安全检测工具来确保代码安全之外，还要对开发过程中的其他流程持续进行安全检测以保证应用安全。

参读链接：

https://www.woocoom.com/b021.html?id=52d470a040b84195a62c8ecc73fbde88

https://securityaffairs.co/wordpress/119018/malware/cyberium-malware-hosting-mirai.html

来源：freebuf.com 2021-06-17 11:27:01 by: 中科天齐软件安全中心