KOROMOON

착한 사마리아인이 되고 싶습니다.

6/21/2018

D-Link DSL-2750B 장치의 원격 실행코드 취약점 이용한 Satori 봇넷


( 1 ) 변종 Satori 봇넷 정보


< D-Link DSL-2750B 장치(가정용 공유기) >

< 변종 Satori 봇넷 스캔 증가, 참조 - 360 Netlab Blog 사이트 >

< 변종 Satori 봇넷 Raw-data >

변종 Satori 봇넷이 2018년 06월 15일 이후부터 D-Link DSL-2750B 장치의 원격 실행코드 취약점을 이용한 대규모 네트워크 스캔이 진행됨.
Satori 봇넷은 Mirai 봇넷의 변형으로 2017년 11월 22에 처음 발견되었으며 1 주일 후 26 만대의 가정용 라우터를 감염시킴.
현재 이슈 중인 변종 Satori 봇넷 스캔은 05월 25일에 공개된 가정용 공유기 제품 D-Link DSL-2750B 장치의 원격 실행코드 취약점과 관련이 있음.



( 2 ) 취약점 분석

취약한 웹 URL 의 cli 매개변수의 인수는 바이너리로 직접 전달이 가능하여 /etc/ayecli/ayecli.cli 파일과 관련이 있음.
/etc/ayecli/ayecli.cli 파일에 주어진 명령어 실행이 가능한 취약점임.
공개된 POC 정보 : https://www.exploit-db.com/exploits/44760/
영향 받는 시스템 : D-LINK ROUTER DSL-2750B FIRMWARE 1.01 TO 1.03


< 디버깅 화면 >


< POC 테스트 화면 >

명령어 실행 시 전달 표기 : ayecli -c '명령어'
악의적인 코드 실행 시 전달 표기 : ayecli -c '명령어'; 악의적인 코드 ''
그러나 URL 에 입력 시 끝 문자에 $ 문자를 입력하여 내부적으로 전달할 때 ' 문자로 치환시킴.



( 3 ) 취약점 방어 및 탐지

제일 좋은 방안은 펌웨어 업데이트하세요~! ^_____^

현재 이슈 중인 웜 악성코드 다운로드 IP 와 C&C IP 를 보안장비에서 차단시키는 게 좋음.
웜 악성코드 다운로드 IP - 185.62.190.191 (Netherlands)
C&C IP - 95.215.62.169 (Spain)

또한, Snort 룰은 아래와 같이 적용시켜 탐지할 것!!!
(URL 정보에 /login.cgi?cli= 입력과 끝 문자에 $ 문자 탐지)
alert tcp any any -> any any (msg:"KOROMOON_20180615_Satori_Botnet_Scan"; uricontent:"/login.cgi?cli="; content:"$ HTTP/1.";)


참고 사이트 : 
http://www.dailysecu.com/?mod=news&act=articleView&idxno=26770
https://blog.netlab.360.com/botnets-never-die-satori-refuses-to-fade-away-en/
http://www.quantumleap.it/d-link-router-dsl-2750b-firmware-1-01-1-03-rce-no-auth/



============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.

댓글 없음:

댓글 쓰기