威脅告警：大量ubnt設備被植入后門

本文詳細闡述了：發現被******、***行為分析、反攻***服務器、成功獲取權限并完成取證的全部過程。這樣的***現在也非常多，特別是針對特定系統的定向（但是“盲掃”）***。

近期，安恒安全研究團隊監控到大量利用弱口令對22端口進行暴力破解的***。經過安全團隊詳細分析，我們發現網絡上大量的ubnt設備的存在弱口令，并且已經被***使用自動化工具植入了后門。安恒APT網絡預警平臺成功的檢測這次威脅***：

在3月19日，接到某客戶網絡故障反饋，安恒工程師聯系客戶后進行遠程應急響，在客戶的某臺設備發現了一些可疑的shell進程.

分析發現這些shell腳本主要的功能是通過wget去下載一些可疑文件并運行，最后還刪除下載的文件，造成了后期取證的困難性.

我們嘗試打開涉及到的惡意頁面如下：

從上圖我們可以看出：

可疑 ip：222.*.*.62 的“10010”文件 在一天之內下載了 9108 次

可疑 ip：180.*.*.241 的“hope9”文件 在 48 分鐘之內下載了 396 次

經過分析，我們發現兩個可疑文件都是MIPS架構下的DDOS工具，國外研究人員稱之為“Mr. Black”

主要的功能就是一些常見的GET_Flood、SYN_Flood、UDP_Flood等DDOS***方式.

第二天，我們持續觀察發現其中的一臺惡意文件的下載量由原來的9108次變成了15171次

一天之內增長了6千多次下載量引起了我們高度的重視.

我們通過技術手段對惡意服務器進行了控制，通過遠程桌面進入后我們發現這臺主機的8000端口與其他很多ip都已經建立了網絡通訊

隨機打開幾個ip，發現都是 ubnt 的設備！

進行取證時，我們在桌面發現了大量的***軟件

并且非常巧的是***也剛好遠程登入了這臺機器

使用netstat查找***IP

發現了惡意IP：139.201.133.104 ，查詢ip138發先這個ip屬于 “四川”

后來，我們使用工具成功抓出管理員的密碼，使用administrator的帳號和密碼登入后發現***正開著遠程控制工具

從圖片中可以看出：它正在監聽端口是 8000，已經被***控制的主機數量有 564 臺.

8000端口也是與我們使用“netstat”查看的結果相符合！

另外，當使用tcpview查看網絡連接發現了，它還正在***其他IP的 9200端口.

9200端口是Elasticsearch?服務開啟的端口，由于Elasticsearch舊版本存在遠程命令執行的漏洞，所以可以被***利用***，其POC如下：

詳情見：http://www.wooyun.org/bugs/wooyun-2014-062127

所以***還使用了9200端口去植入后門（linux架構的蠕蟲）

注意這里***的是“Elasticsearch”服務器，其植入過程如下：

取證回來的相關的惡意文件后，我們發現了植入ubnt設備的工具是叫“linux命令批量執行工具”

這里的植入惡意程序的命令和在與我們在客戶設備上見到的是一樣的!

推測出整個***流程如下：

1. 暴力破解存在弱口令的22端口

2. 調用shell命令植入后門

3. ***發送指令到被***的設備后進行***

我們從***的掃描后保存的結果來看，大量的ubnt設備存在弱口令，（***暴力破解時使用的用戶名和密碼就是ubnt設備出廠時的默認密碼！）

我們隨機嘗試了幾個設備發現都存在默認弱口令，并且多臺設備被多次對植入不同URL的蠕蟲

初步統計的URL包括過有：

并且包含惡意URL不停在變化（備注：并未全部包括！)

后期經過我們分析發現惡意文件發現里面存在不少包含有*.f3322.org 和*.f3322.net網站作為了惡意服務的控制端域名,這兩個域名的注冊信息與pubyu.com(前生是3322.org)是同一家注冊，都是提供免費的二級域名的注冊服務，因此備受***喜歡！

安恒安全團隊再次提醒廣大客戶一定要做安全意識教育，杜絕各種弱口令、默認口令的事情發生。另外物聯網飛速發展的今天，個人計算機可能不再是遭受***侵入的主要對象了，一切與網絡相連的設備都可能被***們侵入，各大傳統設備廠商也應該肩負起保護客戶利益的責任！