Анализ последней волны атак ботнета Mirai на DVR-устройства TBK с уязвимостью CVE-2024-3721

Развертывание ботов в уязвимых системах с известными брешами в безопасности — распространенная проблема. Множество ботов постоянно сканируют интернет в поисках известных уязвимостей на серверах и устройствах, особенно на тех, где запущены популярные сервисы. Часто такие боты атакуют HTTP-сервисы с помощью эксплойтов для удаленного выполнения кода (RCE), позволяющих злоумышленникам встраивать команды Linux в GET- или POST-запросы.

Недавно мы зафиксировали попытки эксплуатации уязвимости CVE-2024-3721 для установки бота в одном из наших сервисов-ловушек (honeypot). Оказалось, что этот вариант бота входит в известный ботнет Mirai, нацеленный на DVR-системы видеонаблюдения. Устройства DVR широко используются различными производственными компаниями; они позволяют записывать видеопотоки с камер и поддерживают удаленное управление. В этой статье мы расскажем о новых возможностях бота Mirai и об обновленном векторе заражения.

Заражение

Во время анализа логов нашей системы-ловушки на базе Linux мы заметили необычную строку запроса, связанную с уязвимостью CVE-2024-3721. Эта уязвимость позволяет выполнять системные команды на DVR-устройствах TBK с помощью специального POST-запроса без надлежащей авторизации в качестве точки входа:

POST-запрос содержит вредоносную команду — однострочный шелл-скрипт, который загружает и выполняет бинарный файл для архитектуры ARM32 на скомпрометированном устройстве.

Как правило, заражение ботами происходит через шелл-скрипты, которые сначала определяют архитектуру целевой машины для выбора подходящего бинарного файла. Однако в этом случае, поскольку атака нацелена на устройства, поддерживающие только бинарные файлы ARM32, злоумышленники обошлись без этапа разведки.

Вредоносный имплант — разновидность Mirai

Исходный код ботнета Mirai был опубликован почти десять лет назад и с тех пор неоднократно модифицировался различными киберпреступными группами. На его основе создавались крупные ботнеты, преимущественно ориентированные на DDoS-атаки и захват ресурсов.

Бот, заражающий DVR-устройства, также основан на исходном коде Mirai, но включает дополнительные функции, такие как шифрование строк с помощью RC4 и проверки запуска на виртуальной машине и в эмуляторе. Мы уже подробно освещали Mirai в ряде публикаций, поэтому сосредоточимся на новых возможностях именно этой модификации.

Расшифровка данных

В этом варианте бота применяется простой алгоритм RC4 для расшифровки данных.

Ключ RC4 зашифрован с помощью XOR. Нам удалось расшифровать этот ключ и получить его значение: 6e7976666525a97639777d2d7f303177.

Полученный ключ RC4 нужен для расшифровки строк. Каждый фрагмент расшифрованных данных добавляется в вектор пользовательской структуры DataDecrypted, представляющей собой простой список строк:

Порядок расшифровки данных

Когда вредоносному ПО требуется конкретная строка, оно обращается к глобальному связанному списку расшифрованных данных.

Добавление расшифрованных строк в глобальный список

Проверки на запуск в виртуальной машине и признаки эмуляции

Чтобы определить, запущен ли бот на виртуальной машине или в QEMU, он проверяет список всех процессов в поисках упоминаний VMware или QEMU-arm. Перечисление запущенных процессов сводится к открытию каталога /proc — файловой системы proc в Linux.

Каждому идентификатору процесса (PID) соответствует собственный каталог с полезной информацией, например файл cmdline с командой, использованной для запуска процесса. Зловред анализирует эти данные, чтобы определить, существуют ли процессы, в командах которых содержатся упоминания VMware или QEMU-arm.

Проверка процессов

Имплант также проверяет, запущен ли процесс бота вне допустимого каталога, сверяясь с прописанным в коде списком разрешенных путей:

Разрешенные каталоги

После успешного прохождения всех проверок Mirai продолжает выполняться в стандартном режиме, подготавливая уязвимое устройство к получению команд от оператора.

Статистика заражений

Согласно нашей телеметрии, большинство зараженных устройств находятся в Китае, Индии, Египте, Украине, России, Турции и Бразилии. Хотя определить точное число уязвимых и зараженных устройств по всему миру достаточно сложно, мы проанализировали открытые источники и выявили в интернете более 50 000 уязвимых DVR-устройств, что дает представление о количестве потенциальных целей для атак.

Заключение

Популярность эксплуатации известных уязвимостей в IoT-устройствах и на серверах без установленных исправлений в сочетании с широким распространением вредоносного ПО для атак на Linux-системы привела к появлению большого числа ботов, постоянно ищущих уязвимые цели в интернете.

Основная задача подобных ботов — проводить DDoS-атаки на сайты и сервисы с целью их перегрузки. Большинство таких ботов прекращают работу после перезагрузки устройства, поскольку прошивки некоторых моделей не позволяют вносить изменения в файловую систему. Для защиты от подобных заражений мы рекомендуем своевременно обновлять уязвимые устройства после выхода соответствующих исправлений. Также можно сбросить устройство к заводским настройкам, если оно действительно уязвимо и доступно из Сети.

Все продукты «Лаборатории Касперского» детектируют эту угрозу как HEUR:Backdoor.Linux.Mirai и HEUR:Backdoor.Linux.Gafgyt.

Индикаторы компрометации

MD5-хэши
011a406e89e603e93640b10325ebbdc8
24fd043f9175680d0c061b28a2801dfc
29b83f0aae7ed38d27ea37d26f3c9117
2e9920b21df472b4dd1e8db4863720bf
3120a5920f8ff70ec6c5a45d7bf2acc8
3c2f6175894bee698c61c6ce76ff9674
45a41ce9f4d8bb2592e8450a1de95dcc
524a57c8c595d9d4cd364612fe2f057c
74dee23eaa98e2e8a7fc355f06a11d97
761909a234ee4f1d856267abe30a3935
7eb3d72fa7d730d3dbca4df34fe26274
8a3e1176cb160fb42357fa3f46f0cbde
8d92e79b7940f0ac5b01bbb77737ca6c
95eaa3fa47a609ceefa24e8c7787bd99
96ee8cc2edc8227a640cef77d4a24e83
aaf34c27edfc3531cf1cf2f2e9a9c45b
ba32f4eef7de6bae9507a63bde1a43aa

IP-адреса
116.203.104[.]203
130.61.64[.]122
161.97.219[.]84
130.61.69[.]123
185.84.81[.]194
54.36.111[.]116
192.3.165[.]37
162.243.19[.]47
63.231.92[.]27
80.152.203[.]134
42.112.26[.]36