快速进化的IoT恶意软件EnemyBot

概述

AT&T Alien Labs一直在跟踪一个名为“EnemyBot”的新型IoT僵尸网络，该僵尸网络被认为由攻击者Keksec分发，正在利用2022年发现的最新漏洞来提高自身的能力。目前其针对IoT设备、Web服务器、Android设备和内容管理系统（CMS）服务。

本文关键信息如下：

EnemyBot会快速地加入1-day漏洞利用。
EnemyBot的攻击目标包括VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase等服务以及物联网和Android设备。
EnemyBot背后的威胁组织Keksec资源丰富，能做到每天对其恶意软件库进行更新。

背景

EnemyBot是由攻击者“Keksec”分发的针对Linux和IoT设备的新型恶意软件，最初由Securonix于2022年3月发现，随后Fortinet对其进行了深入分析。

根据恶意软件的Github项目库，EnemyBot集合了多个僵尸网络的源码，更加强大且适应性更强。EnemyBot的原始代码来源于Mirai、Qbot和Zbot。此外，该恶意软件还支持用户自定义开发（见图1）。

图1:EnemyBot的GitHub页面

据报道，威胁组织Keksec成立于2016，最初由一些经验丰富的的僵尸网络攻击者组成。2021年11月，国内厂商的一位研究人员详细描述了该组织的活动，将以下在不同平台下开发的僵尸网络归因于Keksec：

基于Linux的僵尸网络：Tsunami and Gafgyt
基于Windows的僵尸网络：DarkIRC、DarkHTTP
双系统：Necro（用Python开发）

源码分析

EnemyBot的Github页面开发人员的自我描述为“全职恶意软件开发人员”。他们称他们的工作场所是“Kek security”，这意味着他们可能与Keksec存在关联（见图2）。

图2: EnemyBot开发者描述

Github上的恶意软件库包含四个主要部分：

(1)cc7.py

该模块是一个Python脚本文件，用于下载所有关联程序并将恶意软件编译为不同的操作系统架构，包括x86、ARM、macOS、OpenBSD、PowerPC、MIPS等（见图3）。

图3:将恶意软件源码编译为macOS可执行文件

一旦编译完成，该脚本将创建一个批处理文件“update.sh”作为下载器，随后分发给易受攻击的目标对象。

图4:在不同的平台上创建“update.sh”文件以分发EnemyBot

(2)enemy.c

这是僵尸网络的主要源码部分。虽然它缺少了漏洞利用的主要函数，但包含了恶意代码的所有其它功能，这些功能混合了上文提到的僵尸网络Mirai、Qbot和Zbot的源码，如下图的图5所示。

图5: EnemyBot源码

(3)hide.c

此模块由攻击者编译并手动执行，目的是对恶意软件的字符串进行编码/解码，以隐藏字符串。该恶意软件目前使用的是一个简单的代替表，将一个字符替换为表中对应的相应字符。如下图的图6所示：

图6:字符串编码

(4)servertor.c

图7显示了僵尸网络的命令和控制组件（C&C）。C&C将在攻击者控制的专用机上执行。它可以向受感染的目标发送命令来进行控制。

图7:C&C组件

3. 新变体分析

EnemyBot的大部分功能都与恶意软件的传播能力、扫描公开资产和寻找易受攻击设备的能力有关。此外，该恶意软件还具有DDoS功能，并可以从其操控者那里接收下载和执行新代码（模块）的命令，这使得该恶意软件的功能可以扩展。在EnemyBot的新变体中，它添加了一个Web扫描功能，其包含总共24个漏洞利用，可以利用不同设备和Web服务器的漏洞（见图8）。

图8:EnemyBot调用新的函数“webscan_xywz”

为了执行这些功能，恶意软件随机扫描IP地址，当它收到SYN/ACK响应时，EnemyBot会执行多个漏洞利用来探测远程服务器上的漏洞。第一个漏洞是去年发现的Log4j漏洞(CVE-2021-44228和CVE-2021-45046)。

图9:利用Log4J漏洞

该恶意软件还可以在漏洞被披露后的很短的时间对其进行利用。一个例子是Razer Sila，在2022年4月时还未发布CVE（见图10）。另一个例子是影响VMWare Workspace ONE的远程代码执行（RCE）漏洞（见图11）。

图10: Razer Sila漏洞利用

图11: 利用VMWare Workspace ONE中的漏洞

EnemyBot也开始攻击内容管理系统（例如Wordpress）。他们搜索各种插件中的漏洞，例如“视频同步PDF”（见图12）。

图12: EnemyBot攻击WordPress服务

在图12所示的示例中，恶意软件通过向“/proc/self/environ”注入恶意代码，将本地文件包含（LFI）漏洞提升为RCE。这种攻击方式最初于2009年提出。恶意软件使用LFI调用“envirion”，并在http头的user agent中传递shell命令。恶意软件利用该方法的另一个例子如图13所示。在本例中，恶意软件利用DBltek GoIP中的漏洞。

图13:通过DBltek中的LFI漏洞执行shell命令

如果Android设备通过USB或Android模拟器连接，EnemyBot将尝试通过执行shell命令来进行感染。（图14）

图14: EnemyBot的“adb_infect”函数去攻击安卓设备

感染之后，EnemyBot将等待C&C的进一步命令。与此同时，它还会扫描其他易受攻击的设备来进一步扩散。Alien Labs列出了如下bot可以从C&C接收的命令（截至本文发布时）。

控制命令	行为
SH	执行shell命令
PING	Ping连接到服务器，等待控制命令
LDSERVER	改变payload的加载服务器
TCPON	开启包嗅探
RSHELL	在受感染的机器上创建反向shell
TCPOFF	关闭包嗅探
UDP	开始UDP泛洪攻击
TCP	开始TCP泛洪攻击
HTTP	开始HTTP泛洪攻击
HOLD	开始TCP连接泛洪
TLS	开始TLS攻击，开始握手而不关闭socket。
STD	开始非欺骗UDP泛洪
DNS	开始DNS泛洪
SCANNER ON \| OFF	开始/停止扫描器-扫描并且感染有漏洞的设备
OVH	在OVH上开始DDos攻击
BLACKNURSE	开始ICMP泛洪
STOP	停止正在进行的攻击，杀死子进程
ARK	开始对ARK: Survivor Evolved 视频游戏服务进行攻击
ADNS	从C&C接收目标列表，并开始DNS攻击
ASSDP	开启SSDP泛洪攻击

下文列出了EnemyBot目前使用的漏洞。如前所述，其中有一些漏洞尚未被分配CVE（截至本文发布时）。(未被分配CVE编号的原因可能是漏洞挖掘人员未去申请编号，或漏洞已被及时修补。)

CVE编号	感染设备
CVE-2021-44228, CVE-2021-45046	Log4J RCE
CVE-2022-1388	F5 BIG IP RCE
无CVE（漏洞发布于2022年2月）	Adobe ColdFusion 11 RCE
CVE-2020-7961	Liferay Portal - Java Unmarshalling via JSONWS RCE
无CVE（漏洞发布于2022年4月）	PHP Scriptcase 9.7 RCE
‍CVE-2021-4039	Zyxel NWA-1100 - NH 命令注入
无CVE（漏洞发布于2022年4月）	Razar Sila – 命令注入
CVE-2022-22947	Spring Cloud Gateway – 代码注入漏洞
CVE-2022-22954	VMWare Workspace One RCE
CVE-2021-36356, CVE-2021-35064	Kramer VIAware RCE
无CVE（漏洞发布于2022年3月）	WordPress Video Synchro PDF plugin 本地文件包含
无CVE（漏洞发布于2022年2月）	Dbltek GoIP本地文件包含
无CVE（漏洞发布于2022年3月）	WordPress Cab Fare Calculator plugin本地文件包含
无CVE（漏洞发布于2022年3月）	Archeevo 5.0 本地文件包含
CVE-2018-16763	Fuel CMS 1.4.1 RCE
CVE-2020-5902	F5 BigIP RCE
无CVE（漏洞发布于2019年）	ThinkPHP 5.X RCE
无CVE（漏洞发布于2017年）	Netgear DGN1000 1.1.00.48 ‘Setup.cgi’ RCE
CVE-2022-25075	TOTOLink A3000RU 命令注入漏洞
CVE-2015-2051	D-Link devices - HNAP SOAPAction – 头部命令注入漏洞
CVE-2014-9118	ZHOME < S3.0.501 RCE
CVE-2017-18368	Zyxel P660HN 未认证的命令注入
CVE-2020-17456	Seowon SLR 120 router RCE
CVE-2018-10823	D-Link DWR 不同模型下的命令注入

4. 应对建议

在Linux服务器和物联网设备上保持对互联网的最小暴露面，并使用配置正确的防火墙。
启用自动更新，以确保您的软件具有最新的安全更新。
监控网络流量、出站端口扫描和不合理的带宽占用。

5. 检测

Alien Labs正在使用以下检测方法。读者可以使用它们来调整或部署自己环境中的检测方法，或用于为其他研究提供帮助。

SURICATA IDS 签名

Log4j sids: 2018202, 2018203, 2034647, 2034648, 2034649, 2034650, 2034651, 2034652, 2034653, 2034654, 2034655, 2034656, 2034657, 2034658, 2034659, 2034660, 2034661, 2034662, 2034663, 2034664, 2034665, 2034666, 2034667, 2034668, 2034671, 2034672, 2034673, 2034674, 2034676, 2034699, 2034700, 2034701, 2034702, 2034703, 2034706, 2034707, 2034708, 2034709, 2034710, 2034711, 2034712, 2034713, 2034714, 2034715, 2034716, 2034717, 2034723, 2034743, 2034744, 2034747, 2034748, 2034749, 2034750, 2034751, 2034755, 2034757, 2034758, 2034759, 2034760, 2034761, 2034762, 2034763, 2034764, 2034765, 2034766, 2034767, 2034768, 2034781, 2034782, 2034783, 2034784, 2034785, 2034786, 2034787, 2034788, 2034789, 2034790, 2034791, 2034792, 2034793, 2034794, 2034795, 2034796, 2034797, 2034798, 2034799, 2034800, 2034801, 2034802, 2034803, 2034804, 2034805, 2034806, 2034807, 2034808, 2034809, 2034810, 2034811, 2034819, 2034820, 2034831, 2034834, 2034835, 2034836, 2034839, 2034886, 2034887, 2034888, 2034889, 2034890, 2838340, 2847596, 4002714, 4002715

4001913: AV EXPLOIT LifeRay RCE (CVE-2020-7961)

4001943: AV EXPLOIT Liferay Portal Java Unmarshalling RCE (CVE-2020-7961)

4002589: AV EXPLOIT LifeRay Remote Code Execution - update-column (CVE-2020-7961)

2031318: ET CURRENT_EVENTS 401TRG Liferay RCE (CVE-2020-7961)

2031592: ET WEB_SPECIFIC_APPS Liferay Unauthenticated RCE via JSONWS Inbound (CVE-2020-7961)

2035955: ET EXPLOIT Razer Sila Router - Command Injection Attempt Inbound (No CVE)

2035956: ET EXPLOIT Razer Sila Router - LFI Attempt Inbound (No CVE)

2035380: ET EXPLOIT VMware Spring Cloud Gateway Code Injection (CVE-2022-2294) (set)

2035381: ET EXPLOIT VMware Spring Cloud Gateway Code Injection (CVE-2022-2294)

2035876: ET EXPLOIT VMWare Server-side Template Injection RCE (CVE-2022-22954)

2035875: ET EXPLOIT VMWare Server-side Template Injection RCE (CVE-2022-22954)

2035874: ET EXPLOIT VMWare Server-side Template Injection RCE (CVE-2022-22954)

2036416: ET EXPLOIT Possible VMware Workspace ONE Access RCE via Server-Side Template Injection Inbound (CVE-2022-22954)

4002364: AV EXPLOIT Fuel CMS RCE (CVE-2018-16763)

2030469: ET EXPLOIT F5 TMUI RCE vulnerability CVE-2020-5902 Attempt M1

2030483: ET EXPLOIT F5 TMUI RCE vulnerability CVE-2020-5902 Attempt M2

2836503: ETPRO EXPLOIT Attempted THINKPHP < 5.2.x RCE Inbound

2836504: ETPRO EXPLOIT Attempted THINKPHP < 5.2.x RCE Outbound

2836633: ETPRO EXPLOIT BlackSquid Failed ThinkPHP Payload Inbound

2026731: ET WEB_SERVER ThinkPHP RCE Exploitation Attempt

2024916: ET EXPLOIT Netgear DGN Remote Command Execution

2029215: ET EXPLOIT Netgear DGN1000/DGN2200 Unauthenticated Command Execution Outbound

2034576: ET EXPLOIT Netgear DGN Remote Code Execution

2035746: ET EXPLOIT Totolink - Command Injection Attempt Inbound (CVE-2022-25075)

4001488: AV TROJAN Mirai Outbound Exploit Scan, D-Link HNAP RCE (CVE-2015-2051)

2034491: ET EXPLOIT D-Link HNAP SOAPAction Command Injection (CVE-2015-2051)

4000095: AV EXPLOIT Unauthenticated Command Injection (ZyXEL P660HN-T v1)

4002327: AV TROJAN Mirai faulty Zyxel exploit attempt

2027092: ET EXPLOIT Possible ZyXEL P660HN-T v1 RCE

4002226: AV EXPLOIT Seowon Router RCE (CVE-2020-17456)

2035950: ET EXPLOIT SEOWON INTECH SLC-130/SLR-120S RCE Inbound M1 (CVE-2020-17456)

2035951: ET EXPLOIT SEOWON INTECH SLC-130/SLR-120S RCE Inbound M2 (CVE-2020-17456)

2035953: ET EXPLOIT D-Link DWR Command Injection Inbound (CVE-2018-10823)

代理签名

Java Process Spawning Scripting Process

Java Process Spawning WMIC

Java Process Spawning Scripting Process via Commandline (For Jenkins servers)

Suspicious process executed by Jenkins Groovy scripts (For Jenkins servers)

Suspicious command executed by a Java listening process (For Linux servers)

6. 结论

Keksec的EnemyBot似乎刚传播不久。但由于攻击者的更新速度快，该僵尸网络可能会成为物联网设备和web服务的主要威胁。该恶意软件可以在poc发布的几天之内就快速采用1-day漏洞，这表明了Keksec组织资源充足。Keksec开发了恶意软件，以便在打补丁之前利用漏洞，从而提高了其传播的速度和规模。

ATT&CK技战术映射

TA0001：初始访问
T1190	公开攻击应用
TA0008：横向移动
T1210	攻击远程服务
T1021	远程服务
TA0011：命令和控制
T1132	数据编码
T1001	数据混淆
T1030	代理

攻击指标 (IOCs)

类型	指标	描述
IP地址	80.94.92[.]38	恶意软件远控地址
SHA256	7c0fe3841af72d55b55bc248167665da5a9036c972acb9a9ac0a7a21db016cc6	恶意软件哈希值
SHA256	2abf6060c8a61d7379adfb8218b56003765c1a1e701b346556ca5d53068892a5	恶意软件哈希值
SHA256	7785efeeb495ab10414e1f7e4850d248eddce6be91738d515e8b90d344ed820d	恶意软件哈希值
SHA256	8e711f38a80a396bd4dacef1dc9ff6c8e32b9b6d37075cea2bbef6973deb9e68	恶意软件哈希值
SHA256	31a9c513a5292912720a4bcc6bd4918fc7afcd4a0b60ef9822f5c7bd861c19b8	恶意软件哈希值
SHA256	139e1b14d3062881849eb2dcfe10b96ee3acdbd1387de82e73da7d3d921ed806	恶意软件哈希值
SHA256	4bd6e530db1c7ed7610398efa249f9c236d7863b40606d779519ac4ccb89767f	恶意软件哈希值
SHA256	7a2a5da50e87bb413375ecf12b0be71aea4e21120c0c2447d678ef73c88b3ba0	恶意软件哈希值
SHA256	ab203b50226f252c6b3ce2dd57b16c3a22033cd62a42076d09c9b104f67a3bc9	恶意软件哈希值
SHA256	70674c30ed3cf8fc1f8a2b9ecc2e15022f55ab9634d70ea3ba5e2e96cc1e00a0	恶意软件哈希值
SHA256	f4f9252eac23bbadcbd3cf1d1cada375cb839020ccb0a4e1c49c86a07ce40e1e	恶意软件哈希值
SHA256	6a7242683122a3d4507bb0f0b6e7abf8acef4b5ab8ecf11c4b0ebdbded83e7aa	恶意软件哈希值
SHA256	b63e841ded736bca23097e91f1f04d44a3f3fdd98878e9ef2a015a09950775c8	恶意软件哈希值
SHA256	4869c3d443bae76b20758f297eb3110e316396e17d95511483b99df5e7689fa0	恶意软件哈希值
SHA256	cdf2c0c68b5f8f20af448142fd89f5980c9570033fe2e9793a15fdfdadac1281	恶意软件哈希值