( 1 ) 변종 Satori 봇넷 정보
< D-Link DSL-2750B 장치(가정용 공유기) >
< 변종 Satori 봇넷 스캔 증가, 참조 - 360 Netlab Blog 사이트 >
< 변종 Satori 봇넷 Raw-data >
Satori 봇넷은 Mirai 봇넷의 변형으로 2017년 11월 22에 처음 발견되었으며 1 주일 후 26 만대의 가정용 라우터를 감염시킴.
현재 이슈 중인 변종 Satori 봇넷 스캔은 05월 25일에 공개된 가정용 공유기 제품 D-Link DSL-2750B 장치의 원격 실행코드 취약점과 관련이 있음.
( 2 ) 취약점 분석
취약한 웹 URL 의 cli 매개변수의 인수는 바이너리로 직접 전달이 가능하여 /etc/ayecli/ayecli.cli 파일과 관련이 있음.
/etc/ayecli/ayecli.cli 파일에 주어진 명령어 실행이 가능한 취약점임.
공개된 POC 정보 : https://www.exploit-db.com/exploits/44760/
영향 받는 시스템 : D-LINK ROUTER DSL-2750B FIRMWARE 1.01 TO 1.03
< 디버깅 화면 >
< POC 테스트 화면 >
명령어 실행 시 전달 표기 : ayecli -c '명령어'
악의적인 코드 실행 시 전달 표기 : ayecli -c '명령어'; 악의적인 코드 ''
그러나 URL 에 입력 시 끝 문자에 $ 문자를 입력하여 내부적으로 전달할 때 ' 문자로 치환시킴.
( 3 ) 취약점 방어 및 탐지
제일 좋은 방안은 펌웨어 업데이트하세요~! ^_____^
현재 이슈 중인 웜 악성코드 다운로드 IP 와 C&C IP 를 보안장비에서 차단시키는 게 좋음.
웜 악성코드 다운로드 IP - 185.62.190.191 (Netherlands)
C&C IP - 95.215.62.169 (Spain)
또한, Snort 룰은 아래와 같이 적용시켜 탐지할 것!!!
(URL 정보에 /login.cgi?cli= 입력과 끝 문자에 $ 문자 탐지)
alert tcp any any -> any any (msg:"KOROMOON_20180615_Satori_Botnet_Scan"; uricontent:"/login.cgi?cli="; content:"$ HTTP/1.";)
참고 사이트 :
http://www.dailysecu.com/?mod=news&act=articleView&idxno=26770
https://blog.netlab.360.com/botnets-never-die-satori-refuses-to-fade-away-en/
http://www.quantumleap.it/d-link-router-dsl-2750b-firmware-1-01-1-03-rce-no-auth/
============================================================
글
댓글 없음:
댓글 쓰기