GPON漏洞的在野利用（一）：Muhstik僵尸网络

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

网络安全

GPON漏洞的在野利用（一）：Muhstik僵尸网络

2018-05-15 08:30:17

所属地海外

自从本次 GPON 漏洞公布以来，10 天内已经有至少 5 个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多，在以往 IoT 僵尸网络发展中并不多见。

幸运的是，当前包括 muhstik、mirai、hajime、satori 在内的其中大部分僵尸网络的攻击载荷经测试实现有问题，并不能真正植入恶意代码；mettle 虽然能够植入恶意代码，但 C2 服务器短暂出现后下线了。无论如何，由于这些恶意代码团伙在积极更新，我们仍应对他们的行为保持警惕。

muhstik 僵尸网络由我们首次批露（报告-2018-04 ）。本次 muhstik 的更新中增加了针对包括 GPON 在内三个漏洞的利用。本轮更新后 muhstik 共有 10 种漏洞检测模块。

到北京时间 5 月 9 日，360 网络安全研究院联合安全社区关闭了部分服务器，部分减缓了 muhstik 的扩张速度。然而 muhstik 扩张的脚步并未停止，在 2018-05-10 10:30 GMT+8，我们观察到它启用了 165.227.78.159 替代被关闭的报告服务器，当前我们正在与安全社区协作采取后续行动。

多个僵尸网络正在积极利用最近公开的 GPON 漏洞

5 月 1 号，VPN Mentor 披露了 GPON Home Routers 的两个漏洞，分别是了 CVE-2018-10561 认证绕过漏洞和 CVE-2018-10562 命令执行漏洞。经过对已公开 PoC 的分析，我们能够确定该漏洞利用简单有效，影响面很广，并预期会被僵尸网络用来扩展其僵尸军团。

从第二天（5 月 2 号）开始，360 网络安全研究院就陆续看到有僵尸网络在利用该漏洞扩展感染范围。到 5 月 10 日，我们累积捕获并分析了 5 个家族的恶意代码在利用这些漏洞。

按 360 网络安全研究院观测到的时间顺序，这些僵尸网络分别是：

· mettle：一个恶意代码团伙，利用在越南的 IP 地址（C2 210.245.26.180:4441，scanner 118.70.80.143）和 mettle 开源攻击在积极植入恶意代码。这是该团伙首次进入我们的视野；
· muhstik： muhstik 僵尸网络由我们首先批露（报告-2018-04 。在这次更新中，muhstik 增加了对 GPON（CVE-2018-10561，CVE-2018-10562）、JBOSS（CVE-2007-1036）和 DD-WRT（web 认证爆破）的三个漏洞的利用；
· 不止一个 mirai 变种：mirai 僵尸网络自 2016 年 9 月开源以后，被数以百计的恶意团伙利用。这次我们观察到，其中不止一个团伙正在积极利用该漏洞传播 mirai 变种；
· hajime：我们就 hajime 僵尸网络已经发布了两份报告（报告-2017-09 ，简报-2018-03 ）。本次 hajime 也做了更新，开始感染本次 GPON 漏洞相关设备。
· satori：Satori 僵尸网络由 360 网络安全研究院首次公开披露，其在 2017-12 月中曾经用 12 小时感染了 26 万设备，创下了观测到 IoT 僵尸网络感染速度的记录。既往关于 satori 我们发布了多份报告（报告-2017-11，报告-2017-12，报告-2018-01）。通过本次更新，Satori 僵尸网络也加入到瓜分 GPON 漏洞易感设备的行列。

下文集中描述 muhstik 僵尸网络。

muhstik 僵尸网络基本情况

图 1

上图是 muhstik 僵尸网络的结构示意：

· 扫描阶段：muhstik.scanner 会发起扫描，并利用漏洞迫使 GPON 易感设备向报告服务器汇报状态；
· 感染阶段：muhstik.infector 会利用漏洞迫使 GPON 易感设备从下载服务器下载恶意软件并安装。安装成功后设备即成为 muhstik bot，成为僵尸网络的一部分；
· 控制阶段：muhstik.c2.list 会向 bot 发起指令，要求其执行扫描、SSH 横向扩展、xmrig 挖矿、cgminer 挖矿或者发起 DDoS 攻击。