昨天小編說到德國電信斷網事件，導致2千萬固定網絡用戶中的90萬路由器發生障礙，今天我們就來分析一下導致此次事件的原因以及可能出現的問題和已經存在的問題等。

　　備注：本文是360安全研究員 Li Fengpei原創，轉載來自freebuf。如需轉載，請標注原創作者以及轉載地址。

　　前言

　　德國電信在2016年11月28日前后遭遇一次大范圍的網絡故障。

　　在這次故障中，2千萬固定網絡用戶中的大約90萬個路由器發生故障（約4.5%），并由此導致大面積網絡訪問受限。

　　很多媒體給出了網絡受限的示意圖，如下。

　　德國電信進一步確認了問題是由于路由設備的維護界面被暴露在互聯網上、并且互聯網上正在發生針對性的攻擊而導致。

　　德國電信連夜與設備供應商生成了新的升級包，并且要求客戶如果懷疑受到影響就斷電重啟路由器，之后利用自動/手動的升級過程來減輕問題顯然，德國電信還采取了一系列的過濾措施來保證升級過程不受攻擊影響。

　　德國電信對該事件給出了較為詳細的描述。

　　https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862

　　按照360網絡安全研究院對這次事件以及mirai僵尸網絡的理解，這次事件前后的時間脈絡如下（以下均為北京時間）：

　　1.2016-11-07，kenzo發布了一個針對7547端口上路由器等設備的TR-069/TR-064相關的安全公告；

　　2.2016-11-26 21:27:23 360網絡安全研究院首次探測到mirai僵尸網絡發起了針對 7547 端口的掃描；

　　3.2016-11-26 ～ 2016-11-28，端口7547上的mirai僵尸網絡規模積累到足以影響大面積網絡；

　　4.2016-11-28 telekom 德國電信累積大約90萬個路由器被mirai僵尸網絡的掃描過程打宕，網絡大面積受影響

　　5.2016-11-28 ～ 至今 telekom 德國電信在自身網絡范圍內采取措施遏制mirai僵尸網絡的掃描過程。

　　概述

　　眾所周知，mirai的源碼在北京時間2016-09-30附近泄漏，隨后被托管到GitHub上。

　　自那以后，不管是黑帽子還是白帽子都對mirai的源碼進行了大量深入的分析。

　　換句話說，隨著時間的推移，各路新玩家終將逐漸入場，目前為止我們的觀察也映證了上述觀點。

　　我們已經發現了若干mirai的新變種，例如出現了新的主控域名，或者登錄界面從俄文變為英文/中文，也有一些明顯還是新玩家摸索階段的設定，比如將主控域名設為8.8.8.8或者baidu.com。

　　基于種種mirai變種，我們推測mirai家族對網絡空間安全的威脅將會長期持續，周期也許會以年為單位計。

　　11月26日21點27分, 一個新的變種引起了我們的注意。

　　之前的Mirai各種變種基本都是小改動，核心內容掃描23和2323端口上弱口令的行為模式沒有變化.

　　但是這個變種出現了掃描TCP 端口7547遠程命令執行漏洞的行為，這是利用了最近新公布的一個安全公告中提到的問題，將感染目標轉移到支持TR-069/TR-064并錯誤暴露TR-064的設備.

　　bot掃描端口也隨之轉移到7547，感染過程利用了TR-064實現中存在的命令注入問題。

　　該變種仍然會掃描mirai傳統的端口23/2323，但是使用的弱口令進一步精簡到精心挑選的三組密碼。

　　這種變化表明，mirai泄漏源碼已經逐步成為成熟的開發包，一旦有新的（也許是舊的）設備弱口令被發現，很快就會被mirai家族感染。

　　這其中，掃描端口7547而非23和2323、利用遠程命令執行漏洞而非弱口令種植木馬都與既往mirai的行為顯著區分。

　　另一方面，盡管這個新變種有若干變化，它仍然重用了mirai的部分代碼，進而順帶繼承了mirai代碼中的缺陷，并與既有mirai僵尸網絡共享控制端基礎設施。

　　11月27日17點04分,我們監測到又出現一個變種,和26日的新變種類似,這次的變種出現了掃描TCP端口5555的行為。

　　從我們的統計數據上來，這兩個變種處于異常活躍的狀態，同時從國外合作伙伴的數據來看，這兩個變種的掃描范圍造成了世界范圍的影響，日記錄的活躍掃描源在百萬級別。

　　鑒于mirai的源碼已經公開, 結合上述兩個變種的行為,我們深度擔憂mirai會成為一個ddos攻擊庫的母體，通過模塊化對源代碼部分內容進行更新，就可以隨時增加對新的漏洞的支持。

　　數據更新

　　我們在https://data.netlab.360.com/mirai-scanner提供了對mirai感染設備的各種統計和數據下載供研究者使用。

　　根據新觀察到的數據，我們更新了data.netlab.360.com上的mirai監控頁面，并且將對應樣本的md5和域名附錄在文末。

　　對已經使用API訪問我們提供bot list的合作者，請重新下載2016-11-26及以后的數據以獲得7547及5555端口數據的更新。

　　新Mirai變種的僵尸網絡能力評估

　　目前活躍的所有已知版本的mirai(包括今天報告的在端口7547和5555的)由于編碼手法問題,導致可以精確定位和標示來自mirai的掃描行為。

　　如前所述,我們在2016-11-26首次觀察到7547端口上的新變種，一天后的2016-11-27首次觀察到5555端口上的新變種。

　　在各個端口上首次發現掃描時間對比

　　每日bot規模增長情況(最右側的的藍色和紅色是新增加的這兩個變種)

　　按照當前的增速排名，四個端口上bot的增長速度分別是：

　　當前端口7547上的bot增長速度已經遠超過了已知 端口23/2323上的bot數量增速。

　　當前端口7547上的bot總量已經超過3萬；我們從安全社區合作伙伴處得知，全網潛在的可感染設備總數量在3～5百萬之間。

　　這也是促使我們撰寫本blog的原因之一。

　　端口 7547 上bot增速曲線，分解到每十分鐘：

　　上圖顯示，Bot的增速很快就達到一個高峰，并且平穩的維持在較高水平上。

　　另一方面，在整個互聯網的視角來看，端口7547的掃描在2016-11-26日晚間開始有急劇的上升。

　　在新變種的感染bot的地理分布方面，巴西依然遙遙領先，與既有mirai僵尸網絡的地理分布保持一致。

　　新變種共享了既有mirai僵尸網絡主控的基礎設施

　　通過分析和網絡追蹤，我們得到了端口7547上的mirai變種樣本。進一步分析樣本發現，樣本中的主控有兩組，如下。

　　值得注意的是,這兩組主控都是之前已經發現并跟蹤的mirai僵尸主控。

　　我們最早在2016-11-09就已經在其他樣本中發現了同時出現兩組主控的情況，并且那兩組主控就是本次新變種中涉及的這兩組。

　　也就是說,這次利用7547漏洞的新變種和之前的mirai最開始的使用者是一組人。

　　*.securityupdates.us *. timeserver.host

　　目前我們可以斷言以下這四組主控背后的控制者是同一組人

　　判定的依據有下面這些：

　　1.在本次發現的樣本中（以及最早在2016-11-09發現的樣本），一個樣本中同時出現了securityupdates.us和timeserver.host兩組C&C控制服務器。

　　2.上述四組域名大量共享IP地址，特別是5.188.232.1/24這個C類段，幾乎所有的IP地址都擁有完全相同的掃描banner。

　　3.有意思的是,在我們內部不久前做的一個數據觀察的可視化圖形中,我們也的確可以看到securityupdates.us和timeserver.host這兩個主控下的感染bot有較高的重合度，這從另外一個維度驗證了這兩個主控有一定關系。

　　新變種與既有mirai僵尸網絡在bot列表上也有一定覆蓋交叉

　　整體四個端口 23/2323/5555/7547 的botIP列表也有一定交叉覆蓋。

　　可以看出：

　　1.主要的bot還是僅僅掃描23端口上，占了79%；加上順帶掃描2323端口的11%、以及僅僅掃描2323端口的6.4%，共計96.4%，這占據了當前mirai僵尸網絡的絕對大頭；

　　2.僅僅掃描 7547 端口的bot有 3.1%，考慮到當前這個端口上僅工作了3天，mirai的在這個端口上感染速度仍然是驚人的；

　　3.其他交叉掃描的所有bot合并攻擊占據0.5%，目前仍然不是主體。

　　新變種的設備特性

　　我們匯總了手頭所有7547相關的botIP列表，共計46653個。我們嘗試讀取這些IP的設備型號，共計獲得了5976個回應。

　　這里的樣本耗損比較大，我們反復嘗試了多次，相信可以排除網絡抖動情況，剩下的損耗我們歸因為mirai；

　　也許是因為設備上的開放端口被mirai關閉，也許是因為設備當時網絡忙。

　　我們篩選了返回的5976個回應中個數超過10個的細分類，列出他們的生產廠商（打碼）、型號列表如下。

　　我們建議這些廠商聯合他們的客戶一起對上述情況做出適當響應以減輕mirai的危害程度，但同時仍然必須強調這些只是我們能夠看到的冰山一角，也許還需要更多其他設備廠商一起來做更多的網絡安全工作。

　　相關安全公告

　　2016-11-07，kenzo/kenzo2017在devicereversing.wordpress.com上發布了一個TR-064相關的安全公告。原文見：

　　https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/ 理解該公告的技術細節有助于理解mirai新變種的行為。

　　公告中公開了Eir D1000 Modem的一個配置錯誤和一個命令注入問題。

　　該配置錯誤使得原本僅應該暴露在LAN一側的TR-064協議棧暴露在了WAN一側；

　　而對命令注入手段的充分利用可以使得攻擊者完全接管設備。

　　Eir D1000 Moden向互聯網暴露了端口7547。

　　該端口上運行了兩組協議，TR-069和TR-064，前者設計為在WAN上運行，而后者僅設計為在LAN側運行。

　　正常情況下在互聯網上無法與TR-064協議棧交互，但是由于該設備的錯誤配置，該協議棧被暴露在WAN上，形成一個攻擊面。

　　公告中提及，在該設備上可以執行TR-064中的多個命令，包括獲取設備信息、獲取設備WiFi密碼、獲取設備SSID/MAC、設定時間服務器等等。

　　特殊的，在設定時間服務器的時候存在一個命令注入漏洞，利用該漏洞可以執行該設備上busybox的諸多命令，比如可以設定iptables來關掉設備上80端口管理員界面的防火墻。

　　而要命的是，管理員界面的登錄密碼，就是前面提到可以獲取的設備WiFi密碼。

　　組合使用上述配置錯誤/漏洞，可以使得攻擊者在WAN側獲得設備的完全控制權。

　　Kenzo在公告中給出了一個利用的概念驗證。

　　該公告中還有其他若干槽點可看。不過我們的注意力集中在網絡側的技術特征，包括：

　　1.開放端口為7547，這意味著新變種的bot需要發起針對該端口的掃描。

　　2.體系架構為MIPS。概念驗證中提到的兩個Targets分別是MIPS的大端和小端。

　　另外在安全社區的其他信息源中，我們了解到端口5555上也同樣運行了TR-069/TR-064協議，并且有其他mirai變種開始掃描了上述端口。

　　我們的數據中，映證了以上關于端口5555/7547的說法。

　　新mirai變種的感染和植入過程

　　新變種的感染和植入過程已經被安全社區廣泛討論，例如下面的這篇文章，這里不再贅述，讀者可以自行擴展閱讀。

　　https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/

　　值得一提的有這么一些地方：

　　1.新變種的樣本覆蓋了多個平臺，如下列表:

　　在諸多解釋中，我們選擇相信這可能反映了攻擊者的工程環境比較成熟，攻擊者已經擁有較為成熟的交叉編譯工程環境，新的掃描方式出現后順手就編譯了多種平臺樣本。

　　2.精簡所使用的弱口令集合 這一變種里，針對23/2323 端口弱口令字典已經精簡到了3條。

　　root xc3511 root vizxv root admin

　　對照下表中已經公開的弱口令可知，前述第一對弱口令是針對雄邁設備的；第二對是針對大華設備的。

　　第三條適用范圍較廣，沒有明確的指向性。

　　附錄

IOC, MD5dc2464aefa7ba00eeccbd18baceeb9e9 a4487a7b2040de43ba3e0d7468f070c7 238a67e6f9b129680b618a3c579a8c6c a490bb1c9a005bcf8cfe4bdffe7b991f 0dd3e7899183e93e5967e87ac6ea48a9 83bb43a36c49496a96f41926d80ec97d 99f9e7c6d7786555a7d067220b3c0d7d a00a630b5f2c5e142f35c9df7df9f919 b6e0b8327fa3ab5abe761fb627a9cba1

　　域名

　　kernelorg[.]download update[.]kernelorg[.]download securityupdates[.]us check[.]securityupdates[.]us rep[.]securityupdates[.]us timeserver[.]host ntp[.]timeserver[.]host ocalhost[.]host l[.]ocalhost[.]host

　　置頂懸鏡安全實驗室公眾號，給你最新，最有料的資訊，安全技術干貨。

　　有料丨有趣丨行業丨觀點丨