< 返回新闻公共列表

殭尸网络Mozi锁定Netgear、华为、中兴网络网关发动攻击,还加入持续运作的能力

发布时间:2021-08-26 10:16:30

墨子.png


对于许多企业而言,网络安全问题很是棘手,网络网关(Network Gateway)设备是因特网与内部环境存取的桥梁,一旦遭到入侵,便有可能导致企业门户大开,让攻击者能对企业内部进一步造成危害,而黑客攻击这类连网设备的行动,很可能就会运用殭尸网络病毒。例如,最近微软揭露新一波殭尸网络Mozi的攻击,研究人员发现,近期这款殭尸网络病毒针对Netgear、华为、中兴(ZTE)等厂牌的网络网关设备,加入了能够持续运作的能力。


Mozi是点对点(P2P)的殭尸网络,最早是Netlab 360实验室于201912月揭露,其特点是透过DHT协议(Distributed Hash Table,一种类似BitTorrent的传输方式),来感染物联网(IoT)装置,例如路由器、网络网关,或是数字视频录像机(DVR)等。

黑客运用该殭尸网络病毒发动攻击的大致流程为何?

首先,他们会透过像是物联网搜索引擎Shodan,来找寻、识别曝露在因特网上的连网设备。

接着,黑客会渗透攻击目标,方法可能是透过Telnet的弱密码,或者是物联网装置未修补的漏洞,进而在目标装置植入Mozi。而攻击者运用Mozi可能会衍生的攻击行为,包含了发动分布式阻断服务(DDoS)攻击、数据外泄,以及执行指令或是恶意酬载等,藉由Mozi感染这些设备当做跳板,攻击者可以进而横向移动,来攻击具有高度价值的目标。例如,操作科技(OT)环境里的信息系统、工业控制系统(ICS)等。

但微软在分析新的Mozi殭尸网络病毒之后发现,黑客加入能让Mozi在受害装置持续运作的能力,包含了在受害装置的文件系统中加入脚本(Script),让Mozi能随着装置开机就执行,并且窜改组态设定,阻碍组态服务器与受害装置之间的通讯;再者,攻击者会借着切断Telnet等远程访问的通讯协议,来封锁管理者复原装置组态的管道。

攻击者究竟如何运用殭尸网络病毒Mozi

微软列出了可能的流程,包含最初的找寻、识别攻击目标(步骤12),渗透受害的网络网关装置并植入Mozi(步骤34),设置能让Mozi持续运作的组态(步骤57),最终达到攻击企业内部环境的目的(步骤810):例如,部署渗透套件、发动勒索软件攻击,以及索讨赎金等。

对于上述提及让Mozi持续在受害装置中运作的能力,微软指出,这些功能是针对Netgear、华为,以及中兴的网络网关设备而来。

其中,为了提升权限,Mozi会在检查这些网络网关设备的特定文件夹过程中,滥用CVE-2015-1328──这是存在于Ubuntu操作系统中,旧版Linux核心(3.103.19版)的漏洞,一旦遭到滥用,能让不具特殊权限的用户在系统目录建立新的档案,或是读取系统档案的内容,进而取得管理员访问权限。

除了Mozi会在3个厂牌的网络网关设备中,都会滥用上述的漏洞之外,也有锁定特定厂牌的行为。像是针对中兴的路由器和调制解调器,Mozi会复制自己到指定的文件夹,并且停用TR-069埠,以及阻断受害装置与自动组态服务器(Auto-Configuration Server)联机的能力等,此外,Mozi还会删除特定的档案,以免其他的攻击者滥用CVE-2014-2321漏洞来存取受害装置。 

而对于华为路由器与调制解调器的部分,Mozi则是会执行特定的指令来窜改密码,并且停用集中控管的功能,以防管理者透过管理服务器还原受害装置的组态。

此外,Mozi也会封锁特定的路由器TCP通讯端口,让管理者无法远程访问,例如Telnet埠(23埠、2323埠)、TR-069管理埠(7547埠)等,其中,也包含特定厂牌专属的通讯端口,像是Netgear设备的TR-069管理埠(35000埠),以及华为设备的管理埠(50023埠)等。

在具备上述可持续于受害装置运作的功能之余,攻击者也为Mozi恶意软件添加新的攻击能力,可劫持HTTP联机进行中间人攻击(MitM),或是进行DNS欺骗(DNS Spoofing),将流量重新导向攻击者控制的IP位置。

而对于这些暴露于上述风险的路由器和网络网关,微软建议管理者要使用强密码,以及安装最新的修补程序,来防范Mozi的攻击。



Myasiacloud亞洲雲海

網路安全防禦專家

亞太高防資源 無上限防禦DDoS/CC攻擊!!

全球優質節點 中國大陸全境加速 海外加速

詳情訪問https://www.myasiacloud.com/clouddf   

商務聯絡  TG:@myasiacloud66



/template/Home/Zkeys2/PC/Static