AT&T 发现潜伏已久的 Moobot 基础设施

AT&T Alien Labs 近期发现了一个恶意域名传播 Moobot 和 Satori 僵尸网络的恶意样本并扫描 Tenda 路由器漏洞。

分析

3 月底，AT&T Alien Labs 发现针对 Tenda 路由器的攻击（CVE-2020-10987）突增。该漏洞在野并不常见，过去的半年中蜜罐都很少检测到。

该漏洞请求的 URL 中包含 setUsbUnload、deviceName，可以通过该特征进行识别。

针对 Tenda 路由器的漏洞扫描仅仅持续了一天，但其他扫描活动一直持续了数周：

端口 80 与 8080：Axis SSI RCE 漏洞
端口 34567：DVR 默认凭据扫描
端口 37215：华为路由器 RCE 漏洞（CVE-2017-17215）
端口 52869：Realtek SDK Miniigd UPnP SOAP 命令执行（CVE-2014-8361）

这些漏洞攻击的尝试中，都发现从同一域名（dns.cyberium.cc）下拉取恶意软件。

该域名的攻击行动最早可追溯到 2020 年 5 月。攻击者每次启用一个新子域名，活动一段时间后就静默一段时间，以此保持域名的长期运行。

其完整的子域名如下所示：

Snoopy.cyberium.cc - 2020年5月左右活动
U.cyberium.cc - 2020年5月左右活动
Gcc.cyberium.cc - 2020年6月左右活动
Park.cyberium.cc - 2020年7月左右活动
Hoon.cyberium.cc - 2020年7月左右活动
Hh.cyberium.cc - 2020年9月左右活动
Wo.cyberium.cc - 2020年10月左右活动
Y.cyberium.cc - 2020年10月左右活动
W.cyberium.cc - 2020年11月左右活动
Ns.cyberium.cc - 2020年11月左右活动
Tmp.cyberium.cc - 2020年12月左右活动
Ftp.cyberium.cc - 2021年3月左右活动
Dns.cyberium.cc - 2021年4月左右活动
Ddns.cyberium.cc - 2021年4月左右活动

通过传播 Moobot 或者进行 C&C 通信，找到由同一攻击者控制的其他基础设施：

Park.allcheesedout.cc - 2020年9月左右活动
Ratatouille.allcheesedout.cc - 2020年9月左右活动
Watchdog.allcheesedout.cc - 2020年9月左右活动
Bot.bigbots.cc - 2021年2月左右活动
Cnc.bigbots.cc - 2021年2月左右活动
Cnc1.bigbots.cc - 2021年2月左右活动
Cnc.fewbots.cc - 2021年2月创建并使用
Bot.fewbots.cc - 2021年2月创建并使用
Cnc.hardbotz.cc - 2021年3月创建并使用
Projectaliennet.cc - 2021年3月创建并使用
Life.zerobytes.cc - 2021年5月创建并使用

所有的域名都使用顶级域名 .cc、使用 Namecheap 域名注册服务提供商、传播 Mirai 变种。

恶意的脚本会根据架构下载不同的恶意软件并执行，持久化后删除自身。

与该域名相关至少发现了三种不同的 Mirai 变种：Moobot、Satori/Fbot 以及与这些僵尸网络无关的其他样本。即使是相同的 URL 可能会出现第一周部署了 Satori 后面又部署了 Moobot。

Moobot

2020 年 10 月，Lacework 披露了名为 Moobot 的新型 Mirai 变种。Mirai 使用 abcdefghijklmnopqrstuvw012345678 作为种子生成字符串，而 Moobot 多次使用 w5q6he3dbrsgmclkiu4to18npavj702f 生成字符串，其中之一就是用于进程名称。

cyberium.cc 域名传播的许多样本都包含上述硬编码字符串，并且在 Lacework 披露时就已经开始分发 Moobot 了。

与其他一些 Mirai 变种不同，Moobot 是加密的。但仍然保留了先前的部分特征，例如 IP 地址白名单列表（保留地址、IANA、国防部等）。

攻击者非常了解潜在受害者，恶意软件会尝试通过 prctl 隐藏进程名为 /var/Sofia，将进程伪装成目标设备上视频应用程序的名字。

感染后会尝试在硬编码的 C&C 的 12028 端口获取 C&C 列表。

Fbot

2021 年 3 月，传播 Moobot 的链接上开始传播 Satori/Fbot。

Fbot 与 Moobot 很相似，它们都使用了 Mirai 的源码。此外，也有很多相似之处：

下载方式
扫描的漏洞与目标
执行后打印的字符串（9xsspnvgc8aj5pi7m28p）
隐藏进程（/var/Sofia）

其中较为明显的差异是：

Fbot 的样本中不存在字符串 w5q6he3dbrsgmclkiu4to18npavj702f
Fbot 的 C&C 域名为 bin.rippr.cc，该域名可以发现与其他 Fbot 的活动相关
首先发现的样本并没有加密

结论

Alien Labs 已经确定该恶意域名已经传播了大量的 Miari 变种。攻击者在不同的子域之间切换，尽可能地复用基础设施。目前尚不清楚为什么攻击者会在同一批攻击行动中使用不同的 C&C 给不同的 Mirai 变种。

检测方法

IOC

cyberium.cc
fbdc24f589e99088cec5fc77257c81f3
78ecbd418cac0a1af9feb860fceae2f9
14c629f43d3e05615ea1b25d3e4aa1fa
555821a5f67d064362e8ce9a48b95d56

SURICATA 规则

alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"AV EXPLOIT Tenda Router RCE (CVE-2020-10987)"; flow:to_server,established; content:"GET"; http_method; content:"/setUsbUnload/"; http_uri; content:"deviceName="; http_uri; pcre:"/^[^&]*(x3B|%3B)/UR"; reference:cve,2020-10987; reference:url,blog.netlab.360.com/ttint-an-iot-rat-uses-two-0-days-to-spread/; classtype:attempted-admin; sid:4002263; rev:1;)alert tcp $EXTERNAL_NET any -> $HOME_NET 34567(msg:"AV TROJAN Moobot Botnet DVRIP Scan Inbound"; flow:established; content:"{ |22|EncryptType|22| :"; offset:20; depth:17; content:"DVRIP-Web"; distance:0; content:"UserName|22| : |22|admin|22| }|0A|"; distance:0; isdataat:!1,relative; threshold: type both, track by_src, seconds 300, count 3; reference:url,blog.netlab.360.com/the-botnet-cluster-on-185-244-25-0-24-en/; classtype:trojan-activity; sid:4001530; rev:1;)alert tcp $EXTERNAL_NET any -> $HOME_NET 34567(msg:"AV EXPLOIT Moobot Botnet exploiting InstallDesc DVRIP vulnerability (CVE-2017-16725)"; flow:established,to_server; content:"PK"; depth:24; content:"IntallDesc"; distance:0; within:40; fast_pattern; threshold: type both, track by_src, seconds 300, count 1; reference:cve,2017-16725; reference:url,blog.netlab.360.com/the-botnet-cluster-on-185-244-25-0-24-en/; classtype:trojan-activity; sid:4001531; rev:1;)alert tcp $HOME_NET any -> $EXTERNAL_NET 34567(msg:"AV TROJAN Moobot Botnet Scanning DVRIP from infected system Outbound"; flow:established,to_server; content:"{ |22|EncryptType|22| :"; offset:20; depth:17; content:"DVRIP-Web"; distance:0; content:"UserName|22| : |22|admin|22| }|0A|"; distance:0; isdataat:!1,relative; threshold: type both, track by_src, seconds 300, count 3; reference:url,blog.netlab.360.com/the-botnet-cluster-on-185-244-25-0-24-en/; classtype:trojan-activity; sid:4001529; rev:1;)alert http $EXTERNAL_NET any -> $HOME_NET 37215(msg:"AV EXPLOIT Huawei HG532 RCE Vulnerability (CVE-2017-17215)"; flow:established,to_server; content:"POST"; http_method; urilen:22; content:"/ctrlt/DeviceUpgrade_1"; nocase; http_uri; content:"upgrade"; http_client_body; nocase; content:"NewStatusURL"; http_client_body; distance:0; content:"NewDownloadURL"; http_client_body; distance:0; reference:cve,2017-17215; reference:url,research.checkpoint.com/good-zero-day-skiddie/; classtype:attempted-admin; sid:4000758; rev:1;)ET EXPLOIT Realtek SDK MiniigdUPnP SOAP CommandExecution CVE-2014-8361-Outboundalert http $EXTERNAL_NET any -> $HOME_NET any (msg:"AV EXPLOIT Axis SSI RCE"; flow:to_server,established; content:"/incl/image_test.shtml?"; http_uri; content:"camnbr="; http_uri; distance:0; reference:url,exploit-db.com/exploits/43984; classtype:attempted-admin; sid:4002573; rev:1;)