快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

Mirai以及Gafgyt僵尸收集新变种近期十分活跃

安全专家正告称,泛博用户近期应该小心Mirai以及Gafgyt僵尸收集了,因为这两个臭名昭著的物联网僵尸收集又最先活跃了起来。

1.png

安全专家通过研究发现,Mirai以及Gafgyt这两个僵尸收集近期十分活跃,不排除攻击者计划进行新一轮大规模收集攻击的可能性。由于Mirai僵尸收集的源代码此前已泄露在收集上,紧跟着的就是种种Mirai变种最先泛滥于“江湖”。仅在2018年,就已经出现了类似Satori、Masuta、WickedMirai、 JenX、Omni以及OMG等多款Mirai僵尸收集变种。

Gafgyt僵尸收集,又名Bashlite或Lizkebab,该僵尸收集首次出现于2014年,无线黑客,其源代码泄露于2015年初。根据Flashpoint的研究讲演我们可以看到,在2016年9月份,环球范围内已发现的感染了Bashlite恶意软件的设备数量就高达数百万台。

PaloAltoNetwork在其发布的阐发讲演中指出:“截止至2018年5月底,收集上已经出现了三款基于Mirai以及Gafgyt恶意软件家族的恶意软件变种源码了,这些恶意软件变种的源代码被直接公布在了互联网中,任何人都可以随便获取并基于它们进行自定义开发,其中的漏洞行使代码触及到了多个能够影响物联网设备安全性的已知漏洞。根据我们对恶意软件变种样本的阐发,我们发现一个简单的恶意软件变种就能够一次性行使多达11个安全漏洞来实施攻击。与之相比,就连臭名昭著的 IoTReaper恶意软件(该恶意软件一样借鉴了Mirai的源代码,然则它还集成了LUA环境,并自带有九套漏洞行使代码)都“相形见拙”了。”

这两款僵尸收集变种的最新版本能够行使D-Link DSL-2750B设备的OS命令注入漏洞,并且还集成了多个最新的Metasploit模块。

安全专家表示,这两个僵尸收集活动近期突然变得无比活跃,他们推测这两者之间可能会有某种关联,很多是同一攻击构造所为。

研究人员所发现的第一个恶意活动与Omni僵尸收集(Mirai恶意软件的最新变种之一)有关。Omni僵尸收集可行使的安全漏洞范围无比广,例如DasanGPON路由器的漏洞CVE-2018-10561以及CVE-2018-1562,华为路由器的漏洞CVE-2017–17215,D-Link设备的两个命令执行漏洞,Vacron NVR设备的相干安全漏洞,JAWS Web服务器的命令执行漏洞,和超过70家厂商的CCTV以及DVR设备漏洞等等。

PaloAlto的研究人员表示,所有的这些漏洞都是已知漏洞,并且已经有很多僵尸收集正在行使这些漏洞实施攻击,但这也是第一次有Mirai变种一次性行使这十一个漏洞来实施攻击。

最后一个Mirai变种使用了IP地址213[.]183.53.120来托管Payload,并将其作为命令控征服务器,而某些Gafgyt样本一样也使用的是这个IP地址。

研究人员所观察到的第二个恶意活动使用的是跟之前相同的漏洞行使机制,但它还会额外进行凭据爆破攻击。研究人员根据该活动所使用的Shell脚本和相干代码名称,将该活动命名为了Okane。

研究人员表示,跟之前的恶意活动不同的是,这些样本还会进行凭据暴力破解攻击,而爆破列表中也有一些不常见的条目,譬如说:

root/t0talc0ntr0l4!– Control4设备的默认凭据

admin/adc123– ADCFlexWave Prism设备的默认凭据

mg3500/merlin– Camtron IP 摄像头设备的默认凭据

该活动中的某些样本还在Mirai源码中添加了两个额外的DDoS功能。

2.png

除了上述两个恶意活动之外,PaloAlto Networks的研究人员还发现了第三个僵尸收集活动,名为Hakai,该僵尸收集会尝试行使之前先容的漏洞行使代码来让目标设备感染Gafgyt恶意软件。

PaloAltoNetworks指出,这一波新的收集攻击活动证实了攻击者构建大型僵尸收集的能力正在变得越来越强,随着种种僵尸收集变种源码泄露在互联网上,以后还会出现更多不同类型且损坏力更强的僵尸收集攻击。除此之外,各大厂商也应该抬举漏洞补丁的开发效劳,绝可能地维护用户的终端及数据安全。

*参考来源:securityaffairs,Alpha_pck编译,

您可能还会对下面的文章感兴趣: