Исследователи из Trend Micro проанализировали Miori — вариант IoT-бота Mirai, распространяемый посредством эксплуатации RCE-уязвимости в фреймворке ThinkPHP.

Китайский продукт ThinkPHP с открытым исходным кодом широко используется для разработки и развертывания веб-приложений. Быстрый поиск по Shodan показал более 40 тыс. активных установок по всему миру.

Баг удаленного исполнения кода, о котором идет речь, присутствует в ветках ThinkPHP 5.0.х и 5.1.х; участники проекта устранили его 9 декабря, выпустив сборки 5.0.23 и 5.1.31. Несколько рабочих эксплойтов к нему уже опубликованы; последнее время эксперты фиксируют активизацию сканов с целью обнаружения уязвимости, пока не имеющей CVE-идентификатора.

Как оказалось, новый эксплойт уже взяли на вооружение операторы ботнетов, построенных или строящихся на основе IoT-зловредов, унаследовавших код Mirai. По данным Trend Micro, через эксплойт ThinkPHP ныне распространяются несколько Mirai-подобных ботов, в том числе IZ1H9, APEP и относительно новый Miori.

Оказавшись на устройстве, все они пытаются распространиться дальше посредством подбора паролей к Telnet-сервисам. У APEP имеется и другая возможность самораспространения —  через эксплуатацию хорошо известной RCE-уязвимости CVE-2017-17215 в роутерах Huawei HG532, которую также освоили ботоводы Satori, JenX, Owari и Hakai.

Как показал анализ, после отработки RCE-эксплойта бинарные коды Miori загружаются с сервера, расположенного в AS-сети американского хостинг-провайдера Choopa, LLC. После запуска зловред генерирует в консоли сообщение о заражении со своим именем и запускает Telnet, чтобы проводить словарные атаки на другие IP-адреса. Он также ждет команд оператора на порту 42352 (TCP/UDP), а успех заражения подтверждает отправкой сообщения /bin/busybox MIORI.

Зашифрованный список комбинаций логин/пароль вшит в бинарный код IoT-бота; некоторые из этих пар обычно задаются по умолчанию в заводских настройках, поэтому их легко угадать.

Категории: Аналитика, Вредоносные программы, Уязвимости