卷土重来的路由器漏洞威胁

早在2014年，国内电子厂商生产的NetCore系列路由器等设备被披露存在高权限后门。NetCore漏洞的存在，使得攻击者可以通过此漏洞获取路由器Root权限，可完全控制受影响的产品。目前，很多互联网上还存在有该后门的路由器设备，而这些设备被国外物联网僵尸网络Gafgyt家族再次利用。

 Gafgyt病毒及NetCore漏洞分析

Gafgyt病毒是一个庞大的家族，样本支持X86-64/ARM/MIPS/PowerPC/SPARC等多个不同平台，且上线（主控）IP也各不相同。

当发生TELNET服务用户弱口令认证，并在后续发生SYN-Flood半开、TCP连接淹没拒绝服务攻击、UDP-Flood淹没拒绝服务攻击、ACK-Flood拒绝服务攻击、HTTP GET-Flood淹没拒绝服务攻击、HTTP POST-Flood淹没拒绝服务攻击、NTP拒绝服务攻击等部分泛洪攻击事件，或者再次发生Netcore / Netis 路由器后门事件，即可确认Gafgyt+NetCore漏洞利用出现。

以X86平台的变种为例（其它平台变种程序逻辑相同），样本运行后，首先将自身进程改名，伪装成/usr/sbin/dropbear（类似SSH服务），让TOP或PS命令所看到的进程路径和样本实际路径不同，增加手工查杀的难度，然后和主控端建立连接，发送上线信息，并创建端口监听、接收并处理主控端发送的指令。

（程序运行逻辑|图片来源于网络）

Gafgyt僵尸传播扩散行为分成三个阶段：扫描阶段、部署阶段及攻击阶段。具体如下图：

（图片来源于网络）

Gafgyt家族使用NetCore后门，中招主机的体现为先被扫描51413端口，随后下载恶意软件并对其他机器进行51413端口探测，或指定IP范围的22/23端口进行爆破，或受控发动DDoS攻击。

绿盟“Gafgyt+NetCore漏洞”规则解决方案

在国内，Gafgyt利用NetCore后门进行传播的活动在企事业单位中被频频被发现，为防止Gafgyt+NetCore漏洞利用成功，绿盟企业安全平台（NSFOCUS ESP）、绿盟安全态势感知（NSFOCUS TSA）和绿盟全流量威胁分析解决方案（NSFOCUS TAM）中已经添加了该事件的发现规则并提供对应的修复建议和工具。

（规则设置及事件类型描述）

一般而言绿盟对这种“Gafgyt+NetCore漏洞”的网络攻击有着相关的规则流程分析，其将该网络攻击从利用和利用成功两个层面提供不同的解决方案。

当发生TELNET服务用户弱口令认证并在后续发生SYN-Flood半开、TCP连接淹没拒绝服务攻击、UDP-Flood淹没拒绝服务攻击、ACK-Flood拒绝服务攻击、HTTP GET-Flood淹没拒绝服务攻击、HTTP POST-Flood淹没拒绝服务攻击、NTP拒绝服务攻击等部分泛洪攻击事件，或者再次发生Netcore / Netis 路由器后门事件，即可确认Gafgyt+NetCore漏洞利用出现。此时，绿盟企业安全平台（NSFOCUS ESP）、绿盟安全态势感知（NSFOCUS TSA）和绿盟全流量威胁分析解决方案（NSFOCUS TAM）会提供对应的修复建议和工具。

当出现Gafgyt+NetCore漏洞被利用成功现象时，其规则流程如下：发现HTTP协议下载文件、TFTP服务客户端从服务器端获取文件、TELNET服务用户弱口令认证、TELNET服务暴力猜测用户口令、 SSH 服务暴力猜测用户口令、Netcore / Netis 路由器后门等情况并在后续发生针对其他IP大量的泛洪攻击事件时，即可确认Gafgyt+NetCore漏洞利用成功。随后，事件通过与NTI情报匹配，可追溯攻击源IP的IP黑名单、漏洞、域名、恶意样本等信息。  

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP