物联网僵尸网络的作者发布了一个中兴路由器后门脚本,该脚本中还包括他自己的攻击脚本小子的后门。
脚本小子门正在利用一个武器化的物联网利用脚本,通过一个供应商的后门账户来破解中兴路由器。具有讽刺意味的是,这并不是脚本中唯一的后门。Scarface,这个脚本的编写者还往其中加入了他的自定义后门来攻击任何使用该脚本的脚本小子。
由于物联网设备(Paras/Nexus/Wicked)中的顶级名称处于非活动状态,Scarface/Faraday现在成了脚本小子购买热门的IoT僵尸网络代码以及武器化漏洞的脚本的作者。虽然Scarface的大部分脚本都具有很好的可靠性,但我们观察到他近期发布了一个武器化的ZTE ZXV10 H108L路由器利用脚本有问题,该脚本有一个后门,在脚本小子运行脚本时会危害到他们的系统。
该路由器漏洞详情已被披露,主要是在manager_dev_ping_t.gch页面中存在命令注入,而且需要在使用ZTE Router中的后门帐户进行登录后才能触发。Scarface的代码瞄准了设备的另一个端口8083(这就说明为什么我们的NewSky蜜罐在端口8083而不是标准80/8080端口上观察到这种漏洞利用流量的激增)。然而,这并不是唯一的区别。(脚本地址:https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py)
在泄露的代码片段中,我们看到了有关命令注入的后门代码以及有关登入的后门代码。但是,还有一另个变量,AutoSyPultLoad,包含在Scarface的脚本中,并且被ba se64编码。
此后门代码通过exec函数偷偷地执行,这与实际漏洞的三个步骤(使用供应商后门登入、命令注入和登出)是分开的,如下图所示:
解码后我们发现这段代码连接到另一个网站,从该网站获取代码后执行代码:
最终我们可以看到,这段代码时添加了一组后门用户,然后通过清除日志和历史记录来清除痕迹。后门的URL是通过wget连接的(可能此时Scarface已经知道一个后门生效了)。
僵尸网络脚本的作者此举可能有这几个目的。例如,在控制脚本kiddies系统之后,Scarface也可以借由他们的机器构建小型的僵尸网络,或者他只是为了使用对竞争对手的物联网僵尸网络。
原文链接:https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html