很多腳本小子正在使用武器化的物聯(lián)網(wǎng)漏洞利用腳本,利用供應(yīng)商后門(mén)帳戶(hù)攻擊中興路由器。具有諷刺意味的是,這不是腳本中唯一的后門(mén)。Scarface,代碼的傳播者也部署了自定義后門(mén)來(lái)黑那些使用該腳本的腳本小子。
由于IOT(Paras/Nexus/Wicked)中頂級(jí)開(kāi)發(fā)者的名字不為人所知,Scarface/Faraday就是腳本小子購(gòu)買(mǎi)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)代碼以及武器化利用的開(kāi)發(fā)者的總稱(chēng)。雖然Scarface大多具有良好的可信度,但我們觀察到他發(fā)布了一個(gè)帶有后門(mén)的武器化中興ZXV10 H108L路由器漏洞利用,它在運(yùn)行時(shí)會(huì)感染腳本小子的系統(tǒng)。
該漏洞是已知漏洞,在中興路由器中使用后門(mén)帳戶(hù)進(jìn)行登錄,然后在manager_dev_ping_t.gch中執(zhí)行命令注入。Scarface的代碼針對(duì)另一個(gè)不同端口8083上的設(shè)備(這就解釋了我們的NewSky蜜罐在端口8083而不是標(biāo)準(zhǔn)80/8080端口上看到此漏洞使用量激增)。然而,這不是唯一的區(qū)別。
在泄漏的代碼片段中,我們看到login_payload用于后門(mén)使用,而command_payload用于命令注入。但是,還有一個(gè)變量auth_payload,其中包含base64編碼的Scarface后門(mén)。
這個(gè)后門(mén)代碼是通過(guò)exec偷偷執(zhí)行的,與實(shí)際漏洞的三個(gè)步驟(使用供應(yīng)商后門(mén)、命令注入和注銷(xiāo))分開(kāi)執(zhí)行,如下圖所示:
解碼后的后門(mén)代碼連接到另一個(gè)網(wǎng)站,該網(wǎng)站的代碼連接到URL paste(.)eee并執(zhí)行后續(xù)代碼:
我們可以看到其添加了一組后門(mén)用戶(hù)憑據(jù),然后通過(guò)清除日志和歷史記錄來(lái)刪除痕跡。通過(guò)wget連接到另一個(gè)URL ,因?yàn)樗休d了一個(gè)meme視頻(這可能是Scarface擁有你設(shè)備的一個(gè)指示)。
黑掉IoT僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商可以有很多用途。例如,控制腳本小子系統(tǒng)后,大魚(yú)Scarface也可以控制他們構(gòu)建的較小的僵尸網(wǎng)絡(luò),或者可以簡(jiǎn)單的訪問(wèn)競(jìng)爭(zhēng)對(duì)手的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)操作人員系統(tǒng)來(lái)進(jìn)行個(gè)人競(jìng)爭(zhēng)。
| 
