黑吃黑：物联网僵尸网络作者在中兴路由器后门上添加了自己的黑吃黑物后门

作者：TRex 2018-11-22 12:29:04新闻 商务办公 很多脚本小子正在使用武器化的物联网漏洞利用脚本，利用供应商后门帐户攻击中兴路由器。联网路由具有讽刺意味的僵尸是，这不是网络脚本中唯一的后门。Scarface，作者中兴自己代码的器后传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。

很多脚本小子正在使用武器化的门上门物联网漏洞利用脚本，利用供应商后门帐户攻击中兴路由器。添加具有讽刺意味的黑吃黑物是，这不是联网路由脚本中唯一的后门。Scarface，僵尸代码的网络传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。

由于IOT(Paras/Nexus/Wicked)中顶级开发者的作者中兴自己名字不为人所知，Scarface/Faraday就是器后脚本小子购买物联网僵尸网络代码以及武器化利用的开发者的总称。虽然Scarface大多具有良好的门上门可信度，但我们观察到他发布了一个带有后门的武器化中兴ZXV10 H108L路由器漏洞利用，它在运行时会感染脚本小子的系统。

[[250180]]

该漏洞是已知漏洞，在中兴路由器中使用后门帐户进行登录，然后在manager_dev_ping_t.gch中执行命令注入。Scarface的代码针对另一个不同端口8083上的设备(这就解释了我们的NewSky蜜罐在端口8083而不是标准80/8080端口上看到此漏洞使用量激增)。然而，这不是唯一的区别。

 

在泄漏的代码片段中，我们看到login_payload用于后门使用，而command_payload用于命令注入。但是，还有一个变量auth_payload，其中包含base64编码的Scarface后门。

这个后门代码是通过exec偷偷执行的，与实际漏洞的三个步骤(使用供应商后门、命令注入和注销)分开执行，如下图所示：

 

解码后的后门代码连接到另一个网站，该网站的代码连接到URL paste(.)eee并执行后续代码：

 

我们可以看到其添加了一组后门用户凭据，然后通过清除日志和历史记录来删除痕迹。通过wget连接到另一个URL ，因为它承载了一个meme视频(这可能是Scarface拥有你设备的一个指示)。

 

 

黑掉IoT僵尸网络运营商可以有很多用途。例如，控制脚本小子系统后，大鱼Scarface也可以控制他们构建的较小的僵尸网络，或者可以简单的访问竞争对手的物联网僵尸网络操作人员系统来进行个人竞争。

 

责任编辑：武晓燕 来源： 4hou 物联网网络路由器

(责任编辑：热点)