【安全资讯】Muhstik:感染云服务器的IoT僵尸网络
云基础架构通常不受物联网相关威胁的影响,但“ Muhstik”是例外。Muhstik僵尸网络已经存在了两年,目前正通过多种Web应用程序利用方式影响云。僵尸网络通过XMRig,cgmining和DDoS攻击服务获利。
Muhstik利用IRC进行命令和控制,自成立以来一直使用相同的基础架构。物联网 设备传播的主要方法是通过家用路由器,但是对于Linux服务器传播有多种尝试。目标路由器包括GPON家庭路由器,DD-WRT路由器和Tomato路由器。
Web应用程序漏洞包括Drupal和Weblogic:
Muhstik利用漏洞 | 描述 |
CVE-2019-2725 | Oracle WebLogic Server RCE |
CVE-2017-10271 | Oracle Fusion Middleware的Oracle WebLogic Server组件中的漏洞 |
CVE-2018-7600 | Drupal RCE |
对Muhstik的攻击基础结构的分析发现了一些有趣的关联。发现IRC C2 irc.de-zahlung[.]eu与网站jaygame[.]net共享SSL证书。Jaygame.net是一个业余游戏网站,内容涉及名为“ Jay”的动漫角色。该网站目前正在利用Google Analytics(分析)ID UA-120919167-1。
- - jaygame.net
- - fflyy.su
- - kei.su
链接到分析ID的其他两个域(ffly.su和kei.su)也被配置为C2,用于链接到同一基础结构的其他各种Linux Tsunami恶意软件。 Muhstik基础架构如下:
Muhstik基础架构
Muhstik恶意软件和基础架构中值得注意的其他特征是对动漫的大量引用。下表列出了在Muhstik活动中观察到的参考:
Indicator | Notes |
jaygame.net | 该网站的内容和图像描述了动漫主题游戏 |
Kei.su | 日语名称“ Kei” –可能引用了几个不同的动漫角色 |
Pokemoninc.com | 明确引用口袋妖怪 |
Keiku doori | 在几个标本中看到了恶意软件字符串。这是日语中“按计划进行”的keikaku doori的拼写错误。最有可能提及动漫死亡笔记 |
nandemo shiranai wa yo shitteru koto dake | 恶意软件字符串。在几个动漫中看到的日本谚语 |
https://www.youtube.com/watch?v=Jzqy6UJXpcQ | 现在已删除,但曾经是动漫GochiUsa的音乐。在相关Irc僵尸网络的僵尸网络协议中使用 |
使用动漫主题并不是Muhstik独有的,例如,在2015年, 还发现“ cereal ”物联网僵尸网络下载了动漫视频。
