Mirai僵尸病毒卷土重来,目标转向商用Linux服务器

栏目: 编程工具 · 发布时间: 5年前

内容简介:僵尸病毒的开发者显然已经从开发物联网(IoT)恶意软件中吸取了教训,并将工作重点转向针对商用Linux服务器。与许多物联网设备一样,在互联网上同样充斥着大量未打补丁的Linux服务器,而攻击者会向他们所能找到的每一台易受攻击服务器发送漏洞利用代码,从而对它们进行大规模的滥用。网络安全公司Netcout表示,他们一直在监控其蜜罐网络中针对Hadoop YARN漏洞的利用尝试,并发现了一个熟悉但令人惊讶的有效载荷(payload)——Mirai。这些新的Mirai变种的行为与最初的版本非常相似,但它们显然是为

Mirai僵尸病毒卷土重来,目标转向商用 <a href='https://www.codercto.com/topics/18170.html'>Linux</a> 服务器

僵尸病毒的开发者显然已经从开发物联网(IoT)恶意软件中吸取了教训,并将工作重点转向针对商用Linux服务器。与许多物联网设备一样,在互联网上同样充斥着大量未打补丁的Linux服务器,而攻击者会向他们所能找到的每一台易受攻击服务器发送漏洞利用代码,从而对它们进行大规模的滥用。

网络安全公司Netcout表示,他们一直在监控其蜜罐网络中针对Hadoop YARN漏洞的利用尝试,并发现了一个熟悉但令人惊讶的有效载荷(payload)——Mirai。这些新的Mirai变种的行为与最初的版本非常相似,但它们显然是为Linux服务器定制的,而不是物联网设备。

需要指出的是,网络安全公司Netcout 在之前就已经发表过针对Window设备的Mirai变种的调查结果,但这是他们第一次在攻击尝试中看到并非针对物联网设备的Mirai。

主要发现

  • 针对Linux服务器的Mirai僵尸病毒不再为特定的架构(如x86、x64、ARM、MIPS或ARC)定制恶意软件,它们假定目标使用的是x86。
  • 攻击者并不依赖于“肉鸡(bot)”来传播僵尸病毒,而是通过漏洞利用。其中,少部分攻击者正在使用自定义 工具 来利用Hadoop YARN漏洞。
  • 即使易受攻击Hadoop YARN服务器没有运行telnet服务,攻击者这也会尝试使用telnet出厂默认凭证来进行暴力破解。
  • Linux服务器相比物联网设备拥有更多的可利用资源,在被成功感染后能够成为效率更高的DDoS肉鸡。也就是说,由少数几台Linux服务器构成的僵尸网络就能够媲美由大量物联网设备构成的僵尸网络。

攻击细节

Hadoop YARN漏洞的利用相对简单,这个命令注入漏洞允许攻击者执行任意 shell 命令。上个月,另一家网络安全公司Radware就曾发现,这个漏洞被用于安装DemonBot DDoS僵尸病毒。在很多方面,这个漏洞与Netcout 在物联网设备中发现的其他漏洞类似。例如,CVE-2014-8361(存在于Realtek的UPnP SOAP接口中的一个漏洞)也可以通过向具有特定参数的特殊端口发送HTTP请求来诱导shell命令的执行来利用,而该漏洞也曾被用于提供Mirai变种。

Netcout公司表示,他们的全球蜜罐网络一直在追踪针对Hadoop YARN漏洞的利用尝试。正如下面的图1所示,他们每天都会监测到有数以万计的利用尝试。

Mirai僵尸病毒卷土重来,目标转向商用Linux服务器

图1:Hadoop YARN漏洞利用尝试次数

令人惊讶的是,数量如此之多的漏洞利用尝试居然均是由少数几个特定来源发起的。图2展示了在同一时间段内发起Hadoop YARN漏洞利用尝试的唯一IP地址的数量。

Mirai僵尸病毒卷土重来,目标转向商用Linux服务器

图2:唯一IP地址的数量

如果我们仔细对比在图3中列出的发出这些漏洞利用尝试的前5个用户代理,就可以看出攻击者使用的是 Python 请求库来交付HTTP有效载荷。

Mirai僵尸病毒卷土重来,目标转向商用Linux服务器

图3:前5个用户代理

鉴于漏洞利用尝试仅来自于少数几个特定来源,以及恶意软件有效载荷都是通过对Hadoop YARN漏洞利用来传播的,而不是以蠕虫方式,并且有效载荷均采用Python编写,这些因素加在一起使得Netcout公司相信,新的攻击仅涉及少数几个攻击者通过手动扫描互联网来利用Hadoop YARN漏洞。

如图4所示,由Netcout公司观察到漏洞利用代码都具有一个相同的功能——从URL中提取恶意软件二进制文件并执行它。

Mirai僵尸病毒卷土重来,目标转向商用Linux服务器

图4:典型的漏洞利用代码

不同之处在于漏洞利用中提供的恶意软件。Netcout公司表示,他们在11月份观察到了225个独特的二进制文件。其中,有超过一半(152)的二进制文件是由同一个IP地址交付,并且至少有十几个显然是Mirai变种。

Mirai僵尸病毒卷土重来,目标转向商用Linux服务器

图5:“VPNFilter”Mirai 变种

其中,一个最令Netcout公司感兴趣的Mirai变种被命名为“VPNFilter”(2bcca8ac8d4d80f6740ef14d521284c0,如图5所示)。它与针对物联网设备的Mirai变种的一个最主要区别在于——它针对x86设备。

在沙箱中运行“VPNFilter”时,Netcout公司立即注意到它会尝试使用telnet出厂默认凭证来进行暴力破解。在成功找到一台易受攻击的设备之后,它不会直接在设备上安装恶意软件,而是向C&C服务器上传设备的IP地址、用户名和密码。然后,攻击者会对僵尸病毒进行手动安装。

总结

Mirai不再是仅仅针对物联网设备,而是转向了针对Linux服务器提供。攻击者只将运行x86的Linux服务器作为攻击目标显然要比在攻击使用各种不同CPU的物联网设备要更加更容易。

有限数量的Hadoop YARN漏洞利用尝试来源可能表明,新的攻击是由一小群攻击者发起的。另外,他们的目标也很明确——将Mirai僵尸病毒安装到尽可能多的设备上。一旦建立了立足点,僵尸病毒会使用telnet默认用户名和密码来进行暴力破解。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《Mirai僵尸病毒卷土重来,目标转向商用Linux服务器》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Perl语言编程

Perl语言编程

克里斯蒂安森 (Tom Christiansen) (作者)、Brian D Foy (作者)、Larry Wall (作者)、Jon Orwant (作者) / 苏金国 (译者)、吴爽 (译者) / 中国电力出版社 / 2014-9-1 / 148

从1991年第一版问世以来,《Perl语言编程》很快成为无可争议的Perl宝典,如今仍是这种高实用性语言的权威指南。Perl最初只是作为一个功能强大的文本处理工具,不过很快发展成为一种通用的编程语言,可以帮助成千上万的程序员、系统管理员,以及像你一样的技术爱好者轻松完成工作。 人们早已经翘首以待这本“大骆驼书”的更新,如今终于得偿所愿。在这一版中,三位颇有声望的Perl作者讲述了这种语言当前......一起来看看 《Perl语言编程》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具