黑吃黑：物聯網殭屍網路作者在中興路由器後門上添加了自己的後門

很多指令碼小子正在使用武器化的物聯網漏洞利用指令碼，利用供應商後門帳戶攻擊中興路由器。具有諷刺意味的是，這不是指令碼中唯一的後門。Scarface，程式碼的傳播者也部署了自定義後門來黑那些使用該指令碼的指令碼小子。

由於IOT（Paras/Nexus/Wicked）中頂級開發者的名字不為人所知，Scarface/Faraday就是指令碼小子購買物聯網殭屍網路程式碼以及武器化利用的開發者的總稱。雖然Scarface大多具有良好的可信度，但我們觀察到他釋出了一個帶有後門的武器化中興ZXV10 H108L路由器漏洞利用，它在執行時會感染指令碼小子的系統。

該漏洞是已知漏洞，在中興路由器中使用後門帳戶進行登入，然後在manager_dev_ping_t.gch中執行命令注入。Scarface的程式碼針對另一個不同埠8083上的裝置（這就解釋了我們的NewSky蜜罐在埠8083而不是標準80/8080埠上看到此漏洞使用量激增）。然而，這不是唯一的區別。

在洩漏的程式碼片段中，我們看到login_payload用於後門使用，而command_payload用於命令注入。但是，還有一個變數auth_payload，其中包含base64編碼的Scarface後門。

這個後門程式碼是通過exec偷偷執行的，與實際漏洞的三個步驟（使用供應商後門、命令注入和登出）分開執行，如下圖所示：

解碼後的後門程式碼連線到另一個網站，該網站的程式碼連線到URL paste(.)eee並執行後續程式碼：

我們可以看到其添加了一組後門使用者憑據，然後通過清除日誌和歷史記錄來刪除痕跡。通過wget連線到另一個URL ，因為它承載了一個meme視訊（這可能是Scarface擁有你裝置的一個指示）。