对于许多企业而言,网络安全问题很是棘手,网络网关(Network Gateway)设备是因特网与内部环境存取的桥梁,一旦遭到入侵,便有可能导致企业门户大开,让攻击者能对企业内部进一步造成危害,而黑客攻击这类连网设备的行动,很可能就会运用殭尸网络病毒。例如,最近微软揭露新一波殭尸网络Mozi的攻击,研究人员发现,近期这款殭尸网络病毒针对Netgear、华为、中兴(ZTE)等厂牌的网络网关设备,加入了能够持续运作的能力。
Mozi是点对点(P2P)的殭尸网络,最早是Netlab 360实验室于2019年12月揭露,其特点是透过DHT协议(Distributed Hash Table,一种类似BitTorrent的传输方式),来感染物联网(IoT)装置,例如路由器、网络网关,或是数字视频录像机(DVR)等。
黑客运用该殭尸网络病毒发动攻击的大致流程为何?
首先,他们会透过像是物联网搜索引擎Shodan,来找寻、识别曝露在因特网上的连网设备。
接着,黑客会渗透攻击目标,方法可能是透过Telnet的弱密码,或者是物联网装置未修补的漏洞,进而在目标装置植入Mozi。而攻击者运用Mozi可能会衍生的攻击行为,包含了发动分布式阻断服务(DDoS)攻击、数据外泄,以及执行指令或是恶意酬载等,藉由Mozi感染这些设备当做跳板,攻击者可以进而横向移动,来攻击具有高度价值的目标。例如,操作科技(OT)环境里的信息系统、工业控制系统(ICS)等。
但微软在分析新的Mozi殭尸网络病毒之后发现,黑客加入能让Mozi在受害装置持续运作的能力,包含了在受害装置的文件系统中加入脚本(Script),让Mozi能随着装置开机就执行,并且窜改组态设定,阻碍组态服务器与受害装置之间的通讯;再者,攻击者会借着切断Telnet等远程访问的通讯协议,来封锁管理者复原装置组态的管道。
攻击者究竟如何运用殭尸网络病毒Mozi?
微软列出了可能的流程,包含最初的找寻、识别攻击目标(步骤1、2),渗透受害的网络网关装置并植入Mozi(步骤3、4),设置能让Mozi持续运作的组态(步骤5至7),最终达到攻击企业内部环境的目的(步骤8至10):例如,部署渗透套件、发动勒索软件攻击,以及索讨赎金等。
对于上述提及让Mozi持续在受害装置中运作的能力,微软指出,这些功能是针对Netgear、华为,以及中兴的网络网关设备而来。
其中,为了提升权限,Mozi会在检查这些网络网关设备的特定文件夹过程中,滥用CVE-2015-1328──这是存在于Ubuntu操作系统中,旧版Linux核心(3.10至3.19版)的漏洞,一旦遭到滥用,能让不具特殊权限的用户在系统目录建立新的档案,或是读取系统档案的内容,进而取得管理员访问权限。
除了Mozi会在3个厂牌的网络网关设备中,都会滥用上述的漏洞之外,也有锁定特定厂牌的行为。像是针对中兴的路由器和调制解调器,Mozi会复制自己到指定的文件夹,并且停用TR-069埠,以及阻断受害装置与自动组态服务器(Auto-Configuration Server)联机的能力等,此外,Mozi还会删除特定的档案,以免其他的攻击者滥用CVE-2014-2321漏洞来存取受害装置。
而对于华为路由器与调制解调器的部分,Mozi则是会执行特定的指令来窜改密码,并且停用集中控管的功能,以防管理者透过管理服务器还原受害装置的组态。
此外,Mozi也会封锁特定的路由器TCP通讯端口,让管理者无法远程访问,例如Telnet埠(23埠、2323埠)、TR-069管理埠(7547埠)等,其中,也包含特定厂牌专属的通讯端口,像是Netgear设备的TR-069管理埠(35000埠),以及华为设备的管理埠(50023埠)等。
在具备上述可持续于受害装置运作的功能之余,攻击者也为Mozi恶意软件添加新的攻击能力,可劫持HTTP联机进行中间人攻击(MitM),或是进行DNS欺骗(DNS Spoofing),将流量重新导向攻击者控制的IP位置。
而对于这些暴露于上述风险的路由器和网络网关,微软建议管理者要使用强密码,以及安装最新的修补程序,来防范Mozi的攻击。
Myasiacloud亞洲雲海
網路安全防禦專家
亞太高防資源 無上限防禦DDoS/CC攻擊!!
全球優質節點 中國大陸全境加速 海外加速
詳情訪問https://www.myasiacloud.com/clouddf
商務聯絡 TG:@myasiacloud66
评论
发表评论