Hakai和Yowai殭屍網路使用ThinkPHP漏洞進行傳播
近日研究人員發現網路犯罪分子開始利用一個2018年12月修復的ThinkPHP漏洞來進行殭屍網路的傳播,傳播的這兩個殭屍網路是Mirai的變種Yowai和Gafgyt的變種Hakai。攻擊者通過預設憑證字典攻擊的方法來攻擊使用該PHP框架建立的web站點,並獲取這些路由器的控制權來發起DDOS攻擊。研究人員發現這兩個惡意軟體型別導致1月11日到17日攻擊和感染資料攀升。
Yowai
研究人員分析發現Yowai有一個與其他Mirai變種類似的配置表。配置表也是用相同的步驟來解密,並在感染入口向量中加入了其他已知的ThinkPHP漏洞利用。
Yowai會監聽埠6來接收來自C2伺服器的命令。在感染路由器後,會用字典攻擊來嘗試感染其他裝置。受感染的路由器就會變成殭屍網路的一部分,殭屍網路的運營者就可以用受感染的裝置發起DDOS攻擊。
Yowai還使用了大量的漏洞利用來補充字典攻擊,執行後會在使用者的console上展示資訊。分析發現Yowai還參考了一個競爭殭屍網路的kill列表。
圖1. Console display on a Yowai感染的裝置的console顯示
表1. Yowai用於字典攻擊的預設使用者名稱和密碼列表和參的競爭殭屍網路的kill列表
除了利用ThinkPHP漏洞外,研究人員發現Yowai樣本還利用了CVE-2014-8361, a Linksys RCE, CVE-2018-10561, CCTV-DVR RCE等漏洞。
圖2. ThinkPHP漏洞
Hakai
Hakai 是Gafgyt的變種殭屍網路,Gafgyt之前就是感染IoT裝置並依賴路由器的漏洞進行傳播。研究人員捕獲和分析的Hakai樣本利用了一些系統中尚未修復的漏洞,並加入了ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, CVE-2017-17215的漏洞利用來進行傳播並執行不同型別的DDOS攻擊。
圖3. Hakai掃描的有漏洞的路由器
圖4. ThinkPHP漏洞利用
有趣的是,研究人員發現Hakai樣本中含有直接從Mirai複製的程式碼,尤其是用於加密配置表的函式。但研究人員發現這些函式並不是可操作的,因此研究人員懷疑用於telnet字典攻擊的程式碼被移除了,以使Hakai變種更加靜默。
因為Mirai變種會殺掉競爭的殭屍網路,這對Hakai變種避免攻擊使用預設憑證的IoT裝置來說是非常有利的。相比暴力破解,單獨使用自我傳播的漏洞利用方法很難檢測。
圖5.部分程式碼來自於Mirai
圖6. Hakai樣本沒有使用從Mirai複製的程式碼
結論
ThinkPHP是一個免費的開源PHP框架,因其簡單易用,深受開發者和企業歡迎。網路犯罪分子濫用Hakai和Yowai可以很容易地入侵web伺服器攻擊網站。隨著越來越多的殭屍網路程式碼出現在網際網路上,研究人員猜測味蕾會有更多的程式碼相似的競爭殭屍網路出現。網路犯罪分子也會繼續開發基於Mirai的殭屍網路,因為大多數的IoT裝置使用還是預設憑證。
IoT裝置使用者應該更新裝置到最新的釋出版本來修復漏洞利用。使用者也應該經常更換裝置密碼以應對對裝置的非授權訪問。