王尘宇

施行摘要

2020年10月26日，我们捕捉到一个Gafgyt家族DDoS变种起头操纵Seowon SlC 130路由器RCE破绽停止传布。差别于往常，僵尸收集凡是在大规模送达样本前停止小规模的破绽验证，本次捕捉到的变种没有任何征兆即发作了大规模送达样本的情况。该变种VirusTotal检出率为0，共包罗12种DDoS体例，除常规的反射攻击体例（SSDP等）外，还包罗奇特的DDoS体例（STUN等）。本文将通过懦弱性、表露情况以及威胁阐发三个方面，阐发本次捕捉到的攻击。

懦弱性阐发一节，我们连系互联网公开PoC及捕捉到的攻击，阐发了攻击者攻击的手法。发现攻击者利用的PoC极有可能来自Exploit-DB。

表露情况阐发一节，我们连系绿盟威胁谍报中心，发现2020年至今，互联网中表露1124台Seowon SLC-130路由器，次要位于美国。

威胁阐发一节，我们复原了针对Seowon SlC 130路由器攻击的时间线，并阐发了攻击源和样本情况。发现攻击源只要一个，位于美国布法罗，且仅在2020年10月26日活动，其余时间段暂未捕捉，但也应引起重视，以防该攻击再次发作。样本的VT检出率为0，并包罗奇特的DDoS手法和User-Agent假装手法。

此次攻击事务中，攻击者入侵设备所利用的破绽、DDoS攻击体例、攻击特征都在推陈出新，给防护带来了新的挑战。跟进Exploit-DB公布的RCE破绽并将其整合进本身的兵器库，已经成为僵尸收集的常规行为（尤其有必然开发才能的变种，十分热衷于扩大本身的兵器库其实不断参加新的攻击手法）。设备厂商，除存眷、修复CVE、CNVD等平台的破绽外，也应重点存眷Exploit-DB上的RCE破绽，及时修复破绽，以免形成更严峻的丧失。

1. 懦弱性阐发

本次我们捕捉到的攻击，破绽操纵详见公开PoC[1]，攻击过程分为三步：

- 第一步，硬编码懦弱性验证。攻击者发送一条HTTP POST恳求，PATH_INFO为：/cgi-bin/login.cgi，弱口令admin/admin位于Body中。

- 第二步，送达下载器。攻击者发送一条HTTP POST恳求，PATH_INFO为：/cgi-bin/system_log.cgi，歹意载荷位于Body的pingIpAddr字段中。

- 第三步，通过下载器下载并施行二进造样本。下载器接纳Bash编写，如图 1.1 所示。

图 1.1 针对Seowon路由器的样本下载器

我们发现攻击者送达样本的过程与Exploit-DB公布的破绽操纵根本一致，申明此次攻击PoC的来源极有可能是Exploit-DB。跟进Exploit-DB公布的破绽操纵并将其整合近本身的兵器库，已经成为僵尸收集的常规行为。

2. 表露情况阐发

通过利用绿盟威胁谍报中心对Seowon SLC-130路由器指纹停止搜刮，共发现1124笔记录（2020年至成稿），表露的Seowon SLC-130路由器国度散布情况如图 2.1 所示，能够看出表露的地域以美国为主。

图 2.1 表露的Seowon SLC-130路由器国度散布情况（2020年1月至10月）

3. 威胁阐发

3.1 时间线

2020年8月21日：Exploit-DB公布了Seowon SlC 130路由器的长途代码施行破绽。

2020年10月26日：操纵该破绽送达样本的行为初次呈现并呈现发作态势。

3.2 攻击源及攻击趋向

我们发现，攻击源只要一个，IP：172.245.7.141，位于美国布法罗，申明攻击者利用了固定的主机停止全网探测。同时我们统计了攻击者的攻击趋向，此次攻击仅在2020年10月26日活动，其余时间段暂未捕捉。

3.3 样天职析

我们捕捉到的攻击样本为Gafgyt家族变种，同时引入了其他蠕虫家族（如Satori）的一些功用模块，本文重点阐发的样本，其送达URL为http://172.245.7.141/bot.armeb，SHA256见表 3.1 。表中同时列出了我们通过联系关系阐发得到的其他样本。

表 3.1 部门样本源文件名与SHA256

因为此样本利用了十分冷门的架构（ARM Big-Endian），且接纳变种UPX加壳，其VT检出率为0，如图 3.2所示 。

图 3.1 bot.armeb样本的VT检测成果

我们对脱壳后的样本停止阐发，样本运行后会输出固定字符串9xsspnvgc8aj5pi7m28p，那个特征在其他Gafgyt样本中也曾呈现，次要用于扫描模块断定样本施行情况。

图 3.2 样本中包罗的特征字符串

通过火析我们发现，送达样本的办事器172.245.7.141同时也是其C&C地址。那个地址多处硬编码于样本中。样本通过4321端口承受控造指令，通过6666端口上报DDoS攻击使命施行形态，通过7685端口动态获取telnet爆破所需的密码表。拥有十分多的功用与交互。

图 3.3 样本成立C&C毗连部门逻辑

目前，样本仅包罗两个功用，Telnet扫描传布、承受指令停止DDoS攻击。此中，Telnet扫描功用除了通过内置的密码表停止暴力破解外，还会毗连C&C办事器的7685端口动态获取密码表并合并到内置的库中。但我们模仿协议与C&C停止交互后，发现攻击者目前并没有下发任何数据，端口固然开放，但返回数据为空。

图 3.4 样本动态获取密码表部门逻辑

Telnet登录胜利后，样本通过两种体例测验考试送达样本，一是通过设备内busybox自带的wget与tftp插件从172.245.7.141下载样本，二是识别设备/bin/busybox的ELF文件头，按照差别架构将样本自己嵌入的下载器ELF送达到设备并施行。样本中包罗8个差别架构的下载器，那些样本十分玲珑，每个大小只要1k摆布，通过HTTP协议毗连172.245.7.141停止下载。

图 3.5 样本中内嵌的下载器ELF

送达样本时测验考试的URL列表：

·http://172.245.7.141/bot.armeb 本文阐发的次要样本。

·http://172.245.7.141/bot.arm4 无法下载，404

· http://172.245.7.141/bot.arm5 SHA256： caf01a7da4c28c9c3c9a7fb340a5d56ecc0ab6e8cb2ef590b0b2b4ea0c625d70

·http://172.245.7.141/bot.arm6 无法下载，404

· http://172.245.7.141/bot.arm7 SHA256： 12924b0f50bcfb7487aade4c7c9fd426505648bcaddee7d1736b4c0a588b9fe4

·http://172.245.7.141/bot.aarch64 无法下载，404

样本的第二个功用为DDoS攻击，共12种。除了常规的UDP（NTP、mDNS、LDAP、Memcached、SSDP）反射、TCP/HTTP floods之外，还包罗了多种十分规的攻击体例，好比操纵STUN（NAT穿透办事）协议停止攻击，还包罗一种从随机端口无规律攻击、可由办事端控造攻击强度的特殊UDP攻击体例，其C&C号令码为0x0F。

图 3.6 样本包罗的DDoS攻击体例

除此之外，比力有趣的另一点是，样本中HTTP Flood所接纳的User-Agent伪造了多款家庭游戏主机，包罗WiiU、PS4、3DS。与平常伪造阅读器的样本差别。

图 3.7 HTTP Flood伪造的User-Agent列表

3.4 IoC

参考文献

[1] Exploit-DB. Seowon SlC 130 Router - Remote Code Execution. https://www.exploit-db.com/exploits/48759

伏影尝试室专注于平安威胁研究与监测手艺

涵盖威胁识别手艺，威胁跟踪手艺，威胁捕捉手艺，威胁主体识别手艺。

研究目的包罗：僵尸收集威胁，DDOS匹敌，WEB匹敌，流行办事系统懦弱操纵威胁、身份认证威胁，数字资产威胁，黑色财产威胁 及 新兴威胁。

通过掌控现网威胁来识别风险，缓解威胁危险，为威胁匹敌供给决策支持。

伏影尝试室威胁捕捉系统

收集平安开展至今出格是跟着威胁谍报的鼓起和虚拟化手艺的不竭开展，棍骗手艺也越来越遭到各方的存眷。棍骗手艺就是威胁捕捉系统关键手艺之一。它的高保实、高量量、新鲜性等特征，使之成为研究仇敌的重要手段，同时实时捕捉一手威胁时间不再具有滞后性，十分合适威胁谍报的时效性需求。

绿盟伏影尝试室于2017年中旬运营了一套威胁捕捉系统，开展至今已逐渐成熟，感知节点遍及世界五大洲，笼盖了20多个国度，笼盖常见办事、IOT办事，工控办事等。构成了以全端口模仿为根底，智能交互办事为辅的混合型感知架构，每天从互联网中捕捉大量的新鲜威胁谍报，实时感知威胁。