对于许多企业而言,网路安全问题很是棘手,网路闸道(Network Gateway)设备是网际网路与内部环境存取的桥梁,一旦遭到入侵,便有可能导致企业门户大开,让攻击者能对企业内部进一步造成危害,而骇客攻击这类连网设备的行动,很可能就会运用僵尸网路病毒。例如,最近微软揭露新一波僵尸网路Mozi的攻击,研究人员发现,近期这款僵尸网路病毒针对Netgear、华为、中兴(ZTE)等厂牌的网路闸道设备,加入了能够持续运作的能力。
Mozi是点对点(P2P)的僵尸网路,最早是Netlab 360实验室于2019年12月揭露,其特点是透过DHT协议(Distributed Hash Table,一种类似BitTorrent的传输方式),来感染物联网(IoT)装置,例如路由器、网路闸道,或是数位视讯录影机(DVR)等。
骇客运用该僵尸网路病毒发动攻击的大致流程为何?
首先,他们会透过像是物联网搜寻引擎Shodan,来找寻、识别曝露在网际网路上的连网设备。
接著,骇客会渗透攻击目标,方法可能是透过Telnet的弱密码,或者是物联网装置未修补的漏洞,进而在目标装置植入Mozi。而攻击者运用Mozi可能会衍生的攻击行为,包含了发动分散式阻断服务(DDoS)攻击、资料外泄,以及执行指令或是恶意酬载等,借由Mozi感染这些设备当做跳板,攻击者可以进而横向移动,来攻击具有高度价值的目标。例如,操作科技(OT)环境里的资讯系统、工业控制系统(ICS)等。
但微软在分析新的Mozi僵尸网路病毒之后发现,骇客加入能让Mozi在受害装置持续运作的能力,包含了在受害装置的档案系统中加入脚本(Script),让Mozi能随著装置开机就执行,并且窜改组态设定,阻碍组态伺服器与受害装置之间的通讯;再者,攻击者会借著切断Telnet等远端存取的通讯协定,来封锁管理者复原装置组态的管道。
攻击者究竟如何运用僵尸网路病毒Mozi?
微软列出了可能的流程,包含最初的找寻、识别攻击目标(步骤1、2),渗透受害的网路闸道装置并植入Mozi(步骤3、4),设置能让Mozi持续运作的组态(步骤5至7),最终达到攻击企业内部环境的目的(步骤8至10):例如,部署渗透套件、发动勒索软体攻击,以及索讨赎金等。
对于上述提及让Mozi持续在受害装置中运作的能力,微软指出,这些功能是针对Netgear、华为,以及中兴的网路闸道设备而来。
其中,为了提升许可权,Mozi会在检查这些网路闸道设备的特定资料夹过程中,滥用CVE-2015-1328──这是存在于Ubuntu作业系统中,旧版Linux核心(3.10至3.19版)的漏洞,一旦遭到滥用,能让不具特殊许可权的使用者在系统目录建立新的档案,或是读取系统档案的内容,进而取得管理员存取权限。
除了Mozi会在3个厂牌的网路闸道设备中,都会滥用上述的漏洞之外,也有锁定特定厂牌的行为。像是针对中兴的路由器和数据机,Mozi会复制自己到指定的资料夹,并且停用TR-069埠,以及阻断受害装置与自动组态伺服器(Auto-Configuration Server)连线的能力等,此外,Mozi还会删除特定的档案,以免其他的攻击者滥用CVE-2014-2321漏洞来存取受害装置。
而对于华为路由器与数据机的部分,Mozi则是会执行特定的指令来窜改密码,并且停用集中控管的功能,以防管理者透过管理伺服器还原受害装置的组态。
此外,Mozi也会封锁特定的路由器TCP通讯埠,让管理者无法远端存取,例如Telnet埠(23埠、2323埠)、TR-069管理埠(7547埠)等,其中,也包含特定厂牌专属的通讯埠,像是Netgear设备的TR-069管理埠(35000埠),以及华为设备的管理埠(50023埠)等。
在具备上述可持续于受害装置运作的功能之余,攻击者也为Mozi恶意软体添加新的攻击能力,可劫持HTTP连线进行中间人攻击(MitM),或是进行DNS欺骗(DNS Spoofing),将流量重新导向攻击者控制的IP位置。
而对于这些暴露于上述风险的路由器和网路闸道,微软建议管理者要使用强式密码,以及安装最新的修补程式,来防范Mozi的攻击。