OrkSec: 利用20多种漏洞进行传播的Mirai新型变种僵尸网络

栏目: 编程工具 · 发布时间: 5年前

内容简介:OrkSec是到目前为止捕获利用漏洞数量最多的Mirai变种。从漏洞发布时间上看,该样本使用最早的一个漏洞是2008年,最新漏洞是2018年近期热门的漏洞。受威胁的设备有Linux服务器,CCTV/DVR系统,路由器,智能电视系统等达到十几种。

OrkSec: 利用20多种漏洞进行传播的Mirai新型变种僵尸网络

阅读: 51

OrkSec是到目前为止捕获利用漏洞数量最多的Mirai变种。从漏洞发布时间上看,该样本使用最早的一个漏洞是2008年,最新漏洞是2018年近期热门的漏洞。受威胁的设备有 Linux 服务器,CCTV/DVR系统,路由器,智能电视系统等达到十几种。

文章目录

前言

开源代码促进了软件行业的发展,但开源的BotNet源代码Mirai使得其变种不断“革新”。方式也是各种各样,既有通过Telnet或者SSH爆破进行入侵,也有通过ADB端口进行入侵,如今则是倾向通过漏洞利用感染传播。特别是利用IoT设备的特殊性以及web服务器漏洞不断出现的特点。近期,伏影实验室威胁捕获系统捕获到了新的变种,该变种我们称为(OrkSec)。OrkSec使用了20多个的漏洞进行传播,拥有10多个DDoS攻击功能。

OrkSec是到目前为止捕获利用漏洞数量最多的Mirai变种。从漏洞发布时间上看,该样本使用最早的一个漏洞是2008年,最新漏洞是2018年近期热门的漏洞。受威胁的设备有Linux服务器,CCTV/DVR系统,路由器,智能电视系统等达到十几种。

伏影实验室威胁捕获系统

网络安全发展至今特别是随着威胁情报的兴起和虚拟化技术的不断发展,欺骗技术也越来越受到各方的关注。欺骗技术就是威胁捕获系统关键技术之一。它的高保真、高质量、鲜活性等特征,使之成为研究敌人的重要手段,同时实时捕获一手威胁时间不再具有滞后性,非常适合威胁情报的时效性需求。

绿盟伏影实验室于2017年中旬运营了一套威胁捕获系统,发展至今已逐步成熟,感知节点遍布世界五大洲,覆盖了20多个国家,覆盖常见服务、IOT服务,工控服务等。形成了以全端口模拟为基础,智能交互服务为辅的混合型感知架构,每天从互联网中捕获大量的鲜活威胁情报,实时感知威胁。OrkSec蠕虫病毒就是被俘于威胁捕获系统。

攻击事件总览

2018年11月27日我们首次捕获到使用了5个漏洞的Mirai变种OrkSec。12月7日我们再次捕获到OrkSec,新的样本使用了多达16个漏洞,以及10种DDoS攻击模块。在之后的时间里,经过关联分析我们发现新的样本,该样本使用的漏洞利用增加到了18个,DDoS攻击模块增加到了11种。12月22日,24日以及25日我们再次捕获到了OrkSec的样本,该样本将漏洞利用数量增加到了20个,DDoS攻击模块增加到了13种。

  OrkSec: 利用20多种漏洞进行传播的Mirai新型变种僵尸网络

通过这些漏洞我们发现,该Mirai变种OrkSec可以感染大量的IoT设备以及Linux服务器。使用的漏洞如下表所示:

CVE-2015-2280 AVTECH Unauthenticated Command Injection CCTV/DVR Remote Code Execution CVE-2014-6271
CVE-2014-9094 EnGenius RCE Fastweb FASTGate – 0.00.67 RCE Vulnerability GPon 远程命令执行漏洞
HNAP 远程命令执行漏洞 CVE-2017-17215 JAWS Webserver unauthenticated shell command execution CNVD-2014-01260
Linksys RCE 漏洞 Netgear setup.cgi unauthenticated RCE Vacron NVR RCE CVE-2014-8361
CVE-2018-14417 ThinkPHP_V5.1 远程命令执行漏洞 Eir WAN Side Remote Command Injection CVE-2008-0149

结论

随着时间的变化,OrkSec从5种漏洞利用迅速增长到了20种漏洞利用,可见OrkSec作者时刻关注着IoT、web等相关的漏洞,而且作者使用了一个2008年披露的漏洞,这也表明一些古老的漏洞,现在依然存在可利用价值。

OrkSec比大多数Mirai变种使用了更多的漏洞,危害更大。涉及的平台包含了IoT以及Linux服务器。我们应该做好防范措施,为IoT设备升级固件,Linux服务器打好补丁。

IOC

C&C
89.xxx.223.70
145.xxx.138.69
176.xxx.28.107

关于伏影实验室

OrkSec: 利用20多种漏洞进行传播的Mirai新型变种僵尸网络

伏影实验室专注于安全威胁研究与监测技术。

涵盖威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。

研究目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。

通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

进化式运营:从互联网菜鸟到绝顶高手

进化式运营:从互联网菜鸟到绝顶高手

李少加 / 电子工业出版社 / 2016-11 / 59

互联网运营作为一个新兴的岗位,一方面它是企业的核心岗职,身负重任,另一方面,又由于其短暂的历史,缺乏成熟体系的工作方法论,而目前业界主流的运营方法却是从企业视角出发,存在极大的改进空间。 《进化式运营:从互联网菜鸟到绝顶高手》作者基于自身十年的互联网洞察、实践经验,并融合了信息论、心理学、经济学、管理学、甚至包括生态学、进化论等跨学科跨学业的知识,从无到有地构建了一套全新的互联网运营体系:基......一起来看看 《进化式运营:从互联网菜鸟到绝顶高手》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具