对于许多企业而言,网络网关(Network Gateway)设备是互联网与内部环境访问的桥梁,一旦遭到入侵,便有可能导致企业门户大开,让攻击者能对企业内部进一步造成危害,而黑客攻击这类联网设备的行动,很可能就会运用僵尸网络病毒。例如,最近微软披露新一波僵尸网络Mozi的攻击,研究人员发现,近期这款僵尸网络病毒针对Netgear、华为、中兴(ZTE)等品牌的网络网关设备,加入了能够持续运行的能力。
Mozi是点对点(P2P)的僵尸网络,最早是Netlab 360实验室于2019年12月披露,其特点是通过DHT协议(Distributed Hash Table,一种类似BitTorrent的传输方式),来感染物联网(IoT)设备,例如路由器、网络网关,或是数字视频录像机(DVR)等。
黑客运用该僵尸网络病毒发动攻击的大致流程为何?首先,他们会通过像是物联网搜索引擎Shodan,来找寻、识别暴露在互联网上的联网设备。
接着,黑客会渗透攻击目标,方法可能是通过Telnet的弱密码,或者是物联网设备未修补的漏洞,进而在目标设备植入Mozi。而攻击者运用Mozi可能会衍生的攻击行为,包含了发动分布式拒绝服务(DDoS)攻击、资料外泄,以及执行指令或是恶意酬载等,借由Mozi感染这些设备当做跳板,攻击者可以进而横向移动,来攻击具有高度价值的目标。例如,操作科技(OT)环境里的信息系统、工业控制系统(ICS)等。
但微软在分析新的Mozi僵尸网络病毒之后发现,黑客加入能让Mozi在受害设备持续运行的能力,包含了在受害设备的文件系统中加入脚本(Script),让Mozi能随着设备开机就执行,并且篡改组态设置,阻碍组态服务器与受害设备之间的通信;再者,攻击者会借着切断Telnet等远程访问的通信协议,来封锁管理者恢复设备组态的渠道。
攻击者究竟如何运用僵尸网络病毒Mozi?微软列出了可能的流程,包含最初的找寻、识别攻击目标(步骤1、2),渗透受害的网络网关设备并植入Mozi(步骤3、4),设置能让Mozi持续运行的组态(步骤5至7),最终达到攻击企业内部环境的目的(步骤8至10):例如,部署渗透组件、发动勒索软件攻击,以及索讨赎金等。
对于上述提及让Mozi持续在受害设备中运行的能力,微软指出,这些功能是针对Netgear、华为,以及中兴的网络网关设备而来。
其中,为了提升权限,Mozi会在检查这些网络网关设备的特定文件夹过程中,滥用CVE-2015-1328──这是存在于Ubuntu操作系统中,旧版Linux核心(3.10至3.19版)的漏洞,一旦遭到滥用,能让不具特殊权限的用户在系统目录创建新的文件,或是读取系统文件的内容,进而取得管理员访问权限。
除了Mozi会在3个品牌的网络网关设备中,都会滥用上述的漏洞之外,也有锁定特定品牌的行为。像是针对中兴的路由器和调制解调器,Mozi会复制自己到指定的文件夹,并且停用TR-069端口,以及阻断受害设备与自动组态服务器(Auto-Configuration Server)连接的能力等,此外,Mozi还会删除特定的文件,以免其他的攻击者滥用CVE-2014-2321漏洞来访问受害设备。
而对于华为路由器与调制解调器的部分,Mozi则是会执行特定的指令来篡改密码,并且停用集中管控的功能,以防管理者通过管理服务器还原受害设备的组态。
此外,Mozi也会封锁特定的路由器TCP通信端口,让管理者无法远程访问,例如Telnet端口(23端口、2323端口)、TR-069管理端口(7547端口)等,其中,也包含特定品牌专属的通信端口,像是Netgear设备的TR-069管理端口(35000端口),以及华为设备的管理端口(50023端口)等。
在具备上述可持续于受害设备运行的功能之余,攻击者也为Mozi恶意软件添加新的攻击能力,可劫持HTTP连接进行中间人攻击(MitM),或是进行DNS欺骗(DNS Spoofing),将流量重定向攻击者控制的IP位置。
而对于这些暴露于上述风险的路由器和网络网关,微软建议管理者要使用强密码,以及安装最新的修补程序,来防范Mozi的攻击。