事件概述
奇安信威胁情报中心监测发现,Fortinet FortiGuard Labs与Palo Alto Networks Unit 42联合披露了一起活跃的物联网僵尸网络攻击活动。攻击者利用TBK数字视频录像机(DVR)设备中的命令注入漏洞,部署名为Nexcorium的新型Mirai僵尸网络变种。
该恶意软件具备多架构适配能力,可感染ARM、MIPS R3000及x86-64架构的Linux设备。攻击者通过构建四层持久化机制、集成CVE-2017-17215漏洞利用模块及超长暴力破解字典,形成了一套完整的漏洞利用与横向扩展攻击链条。
威胁等级:高(High)
技术分析与威胁归因
初始访问向量:CVE-2024-3721命令注入漏洞
本次攻击的核心入口为CVE-2024-3721(CVSS 3.1评分6.3),这是一个影响TBK DVR-4104和DVR-4216设备的操作系统命令注入漏洞。攻击者通过操纵HTTP请求中的mdb/mdc参数,向设备注入恶意下载器脚本。
漏洞利用流程如下:攻击者构造包含恶意载荷的HTTP请求,诱导设备通过wget或curl命令下载名为"dvr"的下载器脚本。该脚本随后从远程服务器获取前缀为"nexuscorp"的恶意二进制样本,根据目标设备的处理器架构自动适配对应版本。
FortiGuard Labs安全研究员Vincent Li指出,攻击者采用参数传递的方式绕过设备输入验证,直接在设备操作系统层面执行任意命令。这种攻击手法对固件更新滞后、缺乏安全运维的物联网设备尤为有效。
多架构恶意软件架构
Nexcorium并非单一二进制文件,而是一套针对不同处理器架构定制的恶意软件家族。安全分析显示,该变种支持以下目标架构:
目标架构 | 适用场景 |
|---|---|
ARM | 主流网络摄像机、路由器 |
MIPS R3000 | 老旧嵌入式设备、DVR |
x86-64 | 工业控制系统、小型服务器 |
恶意软件采用经典Mirai架构设计,包含三大核心模块:
- 1. 看门狗模块(Watchdog):监控恶意进程状态,检测模拟器或沙箱环境,必要时终止进程以躲避分析
- 2. 扫描器模块(Scanner):探测同网段其他物联网设备,尝试Telnet暴力破解
- 3. 攻击者模块(Attacker):接收C2指令,执行各类DDoS攻击
配置数据通过XOR编码保护,解码后包含C2域名、攻击命令集和持久化脚本片段。
威胁行为体溯源:Nexus Team
攻击者在多个位置留下身份标识:
受感染设备显示消息:"NexusCorp has taken control"
HTTP请求头:"X-Hacked-By: Nexus Team – Exploited By Erratic"
恶意样本命名约定:"nexuscorp_*"
据此归因分析,该活动由名为Nexus Team的威胁行为体发起,核心成员代号"Erratic"。当前公开信息尚不足以确认该组织与已知APT实体的关联。Nexus Team的具体背景、活动模式和长期目标仍需进一步监测验证。
战术技术演变分析
持久化机制的四层防御体系
Nexcorium展现出远超传统Mirai变种的持久性设计。该恶意软件部署四层独立的持久化机制,确保设备重启或常规清理操作无法彻底移除威胁:
第一层:Init配置持久化
修改/etc/inittab文件,添加恶意进程启动条目,确保系统初始化阶段即运行恶意代码。
第二层:启动脚本注入
篡改/etc/rc.local等启动脚本,将恶意二进制路径写入系统启动流程。
第三层:Systemd服务创建
在/etc/systemd/system/目录下创建伪装成合法服务(如"network-service")的单元文件,注册为开机自启服务。
第四层:Crontab计划任务
添加周期性计划任务,每隔固定时间间隔重新执行恶意进程,作为前三层持久化的冗余备份。
自防御与反分析能力
Nexcorium集成了多种反检测机制:
自删除功能:初始感染完成后,删除原始二进制文件,增加取证难度
完整性自检:运行时验证自身文件哈希,防止被替换或篡改
环境检测:识别虚拟化环境和沙箱工具特征,规避自动化分析
横向扩展攻击链
恶意软件内置两套横向扩展机制:
嵌入式漏洞利用:集成针对华为HG532路由器的CVE-2017-17215漏洞利用代码。攻击者无需依赖外部漏洞库,即可直接对特定目标发起攻击。
暴力破解字典:内置超过50个默认凭据,覆盖常见物联网设备厂商的出厂设置密码。字典内容包括:
类别 | 示例凭据 |
|---|---|
简单数字序列 | 12345, 123456, 888888 |
管理员默认账户 | admin, Administrator, root |
厂商默认密码 | hikvision, D-Link, Zte521 |
复合型弱密码 | 7ujMko0admin, OxhlwSG8, taZz@23495859 |
攻击者利用该字典对同网段物联网设备进行持续的Telnet暴力破解尝试。
DDoS攻击能力评估
Nexcorium的最终目的为组建大规模物联网僵尸网络,用于发动分布式拒绝服务攻击。攻击模块支持以下DDoS攻击方式:
UDP Flood:向目标发送大量UDP数据包,耗尽带宽资源
TCP SYN Flood:发送大量半开TCP连接请求,耗尽连接队列
TCP ACK Flood:发送大量带确认标志的TCP数据包
SMTP Flood:针对邮件服务器的连接耗尽攻击
其他变种攻击:包括HTTP Flood、DNS Amplification等技术变体
C2服务器域名为r3brqw3d[.]b0ats[.]top,攻击者通过该域名向受控设备下发攻击指令和目标列表。
MITRE ATT&CK技术映射
技术编号 | 技术名称 | 攻击阶段 |
|---|---|---|
T1059.004 | Unix Shell | 命令与控制 |
T1053.003 | Cron计划任务 | 持久化 |
T1543.001 | 创建/修改系统进程 | 持久化 |
T1547.001 | 启动项持久化 | 持久化 |
T1070.004 | 文件删除 | 防御规避 |
T1071.001 | 应用层协议 | 命令与控制 |
T1498.001 | 网络洪水DDoS | 影响 |
T1110.001 | 暴力破解 | 横向移动 |
T1190 | 利用公开应用漏洞 | 初始访问 |
国内影响面评估
结合国内物联网安全现状:
受影响设备范围:TBK DVR设备在国内视频监控市场占有一定份额,主要应用于中小型企业、商业场所和住宅小区。考虑到相关固件更新渠道有限,设备可能仍在使用存在漏洞的旧版本固件。
关联漏洞活跃度:CVE-2024-3721与此前披露的CVE-2017-17215(华为HG532)、CVE-2023-33538(TP-Link多型号路由器)等漏洞形成序列,表明针对物联网设备的漏洞利用已呈现工具化、自动化特征。
暴力破解威胁:Nexcorium内置的密码字典包含"D-Link"、"Zte521"、"Zhongxing"等国内常见设备默认凭据,对国内物联网环境构成直接威胁。
防护建议
针对本次攻击活动,奇安信安全专家建议采取以下防护措施:
漏洞修补层面:优先排查TBK DVR设备(DVR-4104、DVR-4216),确认设备固件版本并及时更新。对于已停止维护的设备,建议更换为持续获得安全更新的新型号。
凭据管理层面:强制变更所有物联网设备的默认密码,禁止使用字典内的弱密码。对于无法修改密码的老旧设备,应限制其网络暴露面,隔离至独立网段并关闭Telnet服务。
网络防御层面:在网络边界部署抗DDoS设备,监控异常物联网设备外连行为。关注C2域名r3brqw3d[.]b0ats[.]top的DNS解析日志,排查内网受控主机。
检测响应层面:部署物联网安全态势感知平台,监控设备行为异常。建立物联网设备资产台账,持续跟踪设备运行状态和安全告警。
关联威胁追踪
Fortinet FortiGuard Labs在同一时期还监测到针对TP-Link TL-WR940N、TL-WR740N、TL-WR841N等生命周期终止(EoL)路由器的CVE-2023-33538漏洞自动化扫描活动。成功利用后部署的恶意软件包含"Condi"字符串引用,具备自我更新和充当Web服务器传播感染的能力。
奇安信威胁情报中心将持续追踪Nexus Team的活动轨迹及其关联的物联网僵尸网络生态,适时更新威胁评估。
参考来源
[1].https://hackread.com/mirai-variant-nexcorium-dvr-devices-ddos-attacks/
[2].https://www.fortinet.com/blog/threat-research/nexcorium-a-mirai-variant-exploiting-dvr-devices
[3].https://unit42.paloaltonetworks.com/mirai-variant-nexcorium/
[4].https://securityaffairs.com/177177/malware/mirai-nexcorium-tbk-dvr.html
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
