[目标]僵尸病毒Mirai新变种来袭，目标锁定NAS存储设备 mirai|存储设

文章图片

在CVE-2020-9054的概念验证（Proof of concept，PoC）于上个月被公开发布之后，此漏洞立马就遭到了网络黑客的滥用，目的是使用新的Mirai变种——Mukashi感染未及时安装补丁的Zyxel网络连接存储（NAS）设备。
根据网络安全公司Palo Alto Networks的说法，运行固件版本5.21及更早版本的多个Zyxel NAS产品均受这个预身份验证命令注入漏洞的影响。换句话来说，这些Zyxel NAS产品都有可能遭到Mukashi的感染，进而沦为“肉鸡”。

文章图片

图1.受CVE-2020-9054影响的Zyxel NAS产品型号及固件版本
漏洞分析
CVE-2020-9054是由于可执行文件weblogin.cgi在身份验证期间未正确过滤username参数造成的，导致攻击者可以在传递给此文件的用户名中包含某些特殊字符来触发漏洞，进而以webserver的权限实现命令注入。
滥用活动
Palo Alto Networks监测到的首个CVE-2020-9054漏洞实例发生在本月12日，攻击者试图将将一个shell脚本下载到目标NAS设备的tmp目录。

文章图片

图2.首个CVE-2020-9054漏洞实例
脚本执行后，将下载并启动Mukashi。

文章图片

图3.用于下载并启动Mukashi的shell脚本
Mirai新变种——Mukashi
如上所述，Mukashi是Mirai的一个新变种。
在启动后，它将执行如下操作：

扫描随机主机的TCP端口23；
使用不同的默认凭据组合执行强制登录；
向C2服务器报告有效的凭证组合。

文章图片

图4.扫描随机主机的TCP端口23
与其他Mirai变种一样，Mukashi也能够接收C2命令并发起DDoS攻击。
值得一提的是，在执行上述操作之前，Mukashi还会绑定到TCP端口23448，以确保在受感染的系统上仅运行单个实例。
当Mukashi执行暴力破解时，它会使用一些典型的默认密码，如t0talc0ntr0l4!和 taZz@23495859。

文章图片

图5.暴力破解
一旦登录成功，Mukashi就会将有效的凭证组合到报告给TCP端口34834上的C2服务器45[.]84[.]196[.]75，消息格式如下：
<主机IP地址>:23<用户名>:<密码>
图6.向C2服务器报告有效的凭证组合
分析显示，Attack_parsing()函数负责处理Mukashi从C2服务器接收到的C2命令字符串。除命令的类型和目标地址外，C2命令字符串还包括其他一些相关信息，如SYN flag、ACK flag、URG flag、SH flag、Rst flag、时间字段以及目标端口值等。
具体来讲，Mukashi支持如下C2命令。