|
|
51CTO旗下网站
|
|
移动端

黑吃黑:物联网僵尸网络作者在中兴路由器后门上添加了自己的后门

很多脚本小子正在使用武器化的物联网漏洞利用脚本,利用供应商后门帐户攻击中兴路由器。具有讽刺意味的是,这不是脚本中唯一的后门。Scarface,代码的传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。

作者:TRex来源:4hou|2018-11-22 12:29

很多脚本小子正在使用武器化的物联网漏洞利用脚本,利用供应商后门帐户攻击中兴路由器。具有讽刺意味的是,这不是脚本中唯一的后门。Scarface,代码的传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。

由于IOT(Paras/Nexus/Wicked)中顶级开发者的名字不为人所知,Scarface/Faraday就是脚本小子购买物联网僵尸网络代码以及武器化利用的开发者的总称。虽然Scarface大多具有良好的可信度,但我们观察到他发布了一个带有后门的武器化中兴ZXV10 H108L路由器漏洞利用,它在运行时会感染脚本小子的系统。

该漏洞是已知漏洞,在中兴路由器中使用后门帐户进行登录,然后在manager_dev_ping_t.gch中执行命令注入。Scarface的代码针对另一个不同端口8083上的设备(这就解释了我们的NewSky蜜罐在端口8083而不是标准80/8080端口上看到此漏洞使用量激增)。然而,这不是唯一的区别。

在泄漏的代码片段中,我们看到login_payload用于后门使用,而command_payload用于命令注入。但是,还有一个变量auth_payload,其中包含base64编码的Scarface后门。

这个后门代码是通过exec偷偷执行的,与实际漏洞的三个步骤(使用供应商后门、命令注入和注销)分开执行,如下图所示:

解码后的后门代码连接到另一个网站,该网站的代码连接到URL paste(.)eee并执行后续代码:

我们可以看到其添加了一组后门用户凭据,然后通过清除日志和历史记录来删除痕迹。通过wget连接到另一个URL ,因为它承载了一个meme视频(这可能是Scarface拥有你设备的一个指示)。

黑掉IoT僵尸网络运营商可以有很多用途。例如,控制脚本小子系统后,大鱼Scarface也可以控制他们构建的较小的僵尸网络,或者可以简单的访问竞争对手的物联网僵尸网络操作人员系统来进行个人竞争。

【编辑推荐】

  1. 一款诚意满满的开源项目:使用深度神经网络去除马赛克
  2. 2019年物联网五大预测 要警惕犯罪分子瞄准智慧城市
  3. 量子网络取得关键性突破:以量子纠缠理论为基础
  4. 值得关注的8个网络认证
  5. 突破性神经网络将为量子AI研究铺平道路
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

视频课程+更多

VMware虚拟化技术从入门到精通视频课程

VMware虚拟化技术从入门到精通视频课程

讲师:郭主任9540人学习过

讲师:刘宗泽3846人学习过

阿里云云计算工程师ACP通关攻略培训

阿里云云计算工程师ACP通关攻略培训

讲师:杰森洋7821人学习过

读 书 +更多

非常网管——网络服务

本书使用通俗易懂的语言,通过大量的实例,从实际应用的角度出发,全面系统地介绍了网络服务操作系统平台、电子邮件系统、Web站点和FTP站点...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊