事件概述
上周末数百万德国网民遭遇一系列的网络中断,究其原因是一次失败的家用路由器劫持。德国电信(Deutsche Telekom)的2000万用户中有90万用户收到本次网络中断影响,从上周日一直持续到本周一。本周一德国电信发布的声明中表明本轮攻击主要是为了进一步扩大感染,相信针对联网设备的更大型攻击将会在最近1个月内发生。
在过去24小时内,奥地利的TR-069路由器流量大幅增加。通过Shodan搜索,在奥地利开放7547端口的设备可以到达53000个。
我们目前看到的大多数流量来自其他用户的DSL调制解调器,其中很多来自巴西。
德国电信现在为受影响的路由器提供固件更新。
新版固件地址:
https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-921v/firmware-zum-speedport-w-921v
建议受影响的用户关闭电源,然后30秒后重新启动,之后路由器会从Telekom服务器检索新固件。
临时解决办法
如果你怀疑你的路由器可能受到本次漏洞影响,你可以重启路由器并检查是否开放了7547端口,如果开放了该端口请在路由器上对该端口进行访问限制。
但如果你的路由器已经感染,路由器将不再监听7547端口,你可以选择更新最新的官方固件并进行初始化操作,以免受该漏洞的危害。
事态更新
在运营商对旧的攻击地址:l.ocalhost.host进行了访问限制后,攻击者开始改用:timeserver.host和ntp.timerserver.host这两个域名进行攻击。
这两个主机名都解析到了:176.74.176.187(感谢Franceso)。在我们的蜜罐中还观察到了更多的恶意域名,请参阅下面的信息。
在最近几天,对7547端口的攻击大大增加。这些扫描似乎利用了流行的DSL路由器中的漏洞。这个问题可能已经导致德国ISP运营商德国电信出现严重问题,并可能影响其他人(考虑到美国可能也会在未来几周受影响)。对于德国电信,Speedport路由器似乎是这次事件的主要问题。
通过Shodan搜索,约4100万个设备开放7547端口。代码看起来是从Mirai派生的,带有对SOAP漏洞的附加扫描。目前,蜜罐IP每5-10分钟收到一个请求。
感谢james提供给我们他捕获到的请求。
分析一下这个请求中的几个有趣的功能
1.它似乎利用了TR-069配置协议中的常见漏洞。
2.Metasploit模块实现漏洞利用漏洞。详细请看:https://www.exploit-db.com/exploits/40740/
3.使用的主机名l.ocalhost.host 并不是localhost;- ).这个主机名解析到了212.92.127.146,但是其他的解析到5.188.232.[1,2,3,4]地址。现在,主机名似乎不能正常解析。但是但它仍然能解析在其他ISP运营商的缓存数据。
4.文件“1”是MIPS可执行文件。基于字符串,文件包括上面的SOAP请求,以及检索文件“2”的请求,该文件是“1”的MSB MIPS变体。 ARM似乎还有一个文件“3”。
5.最后,基于字符串,文件启用在防火墙规则,开启7547端口保护路由器免受其他黑客的攻击,并且它停掉了telnet服务限制用户远程刷新路由器固件。
网传:两名黑客出租包含40万设备的Mirai僵尸网络
出售僵尸网络的两名黑客叫BestBuy 和 Popopret,他们被认为与 GovRAT恶意程序有关联,该恶意程序被用于从多家美国公司内部窃取数据。他们的DDoS租赁服务并不便宜,租赁5万设备组成的僵尸网络两周的费用在3千到4千美元。但是不得不说有了这样的攻击资源购买渠道,未来使用IOT设备进行拒绝服务攻击的事件会越来越多。
未确认易受攻击路由器列表
– Eir D1000 Wireless Router (rebranded Zyxel Modem used by Irish ISP Eir)
– Speedport Router (Deutsche Telekom)
涉及的恶意下载地址
http://5.8.65.5/1
http://5.8.65.5/2
http://l.ocalhost.host/1
http://l.ocalhost.host/2
http://l.ocalhost.host/3
http://l.ocalhost.host/x.sh
http://p.ocalhost.host/x.sh
http://timeserver.host/1
http://ntp.timerserver.host/1
http://tr069.pw/1
http://tr069.pw/2
SHA256 哈希 (文件 1-7)
7e84a8a74e93e567a6e7f781ab5764fe3bbc12c868b89e5c5c79924d5d5742e2 1
7e84a8a74e93e567a6e7f781ab5764fe3bbc12c868b89e5c5c79924d5d5742e2 2
1fce697993690d41f75e0e6ed522df49d73a038f7e02733ec239c835579c40bf 3
828984d1112f52f7f24bbc2b15d0f4cf2646cd03809e648f0d3121a1bdb83464 4
c597d3b8f61a5b49049006aff5abfe30af06d8979aaaf65454ad2691ef03943b 5
046659391b36a022a48e37bd80ce2c3bd120e3fe786c204128ba32aa8d03a182 6
5d4e46b3510679dc49ce295b7f448cd69e952d80ba1450f6800be074992b07cc 7
文件类型(文件 1-7)
1: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
2: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
3: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
4: ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV), statically linked, stripped
5: ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, stripped
6: ELF 32-bit MSB executable, SPARC version 1 (SYSV), statically linked, stripped
7: ELF 32-bit MSB executable, Motorola 68020 - invalid byte order, version 1 (SYSV), statically linked, stripped
Virustotal的分析链接
感谢Gebhard和Francesco的提供的相关链接和信息。
参考文档
https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/
【权威发布】从德国断网事件看mirai僵尸网络的演化(新变种和旧主控)(19:00更新)
360网络安全研究院权威发布:http://bobao.360.cn/learning/detail/3236.html
相关文章导读
【漏洞分析】Dlink DIR路由器HNAP登录函数的多个漏洞
【技术分享】Dlink DWR-932B路由器被爆多个安全漏洞
【国际资讯】360攻防实验室:D-link多款路由器存在高危漏洞
评论