​新Mirai Variant瞄准企业无线演示和显示系统

栏目: 编程工具 · 发布时间: 5年前

内容简介:2019年1月初,Unit 42发现了臭名昭著的IoT / Linux僵尸网络Mirai最出名的是在2016年,用于大规模、前所未有的DDoS攻击。一些最著名的目标包括:网络托管服务提供商Unit 42发现的这一新变种值得注意的是它针对不同的嵌入式设备,如路由器、网络存储设备、NVR和IP摄像机,并使用大量漏洞攻击它们。

简介

2019年1月初,Unit 42发现了臭名昭著的IoT / Linux僵尸网络 Mirai 的一个新版本。

Mirai最出名的是在2016年,用于大规模、前所未有的DDoS攻击。一些最著名的目标包括:网络托管服务提供商 OVH ,DNS提供商 Dyn 和Brian Krebs的网站。

Unit 42发现的这一新变种值得注意的是它针对不同的嵌入式设备,如路由器、网络存储设备、NVR和IP摄像机,并使用大量漏洞攻击它们。

特别是,Unit 42发现了该变种针对WePresent WiPG-1000无线演示系统和LG Supersign电视。这两种设备都适用于企业。这一发展向我们表明了将Mirai用于企业目标的潜在转变。之前我们观察僵尸网络定位企业漏洞的实例是针对Apache Struts和SonicWall的漏洞利用。

除了这个更新的定位,这个新版本的Mirai还包括其多漏洞库中的新漏洞,以及用于对设备进行暴力破解攻击的新凭据。

最后,恶意有效载荷托管在哥伦比亚的一个受感染网站:主营“电子安全,集成和警报监控”业务。

这些新功能为僵尸网络提供了大型攻击面。特别是,定位企业链接还允许它访问更大的带宽,最终导致僵尸网络为DDoS攻击提供更大火力。

这些发展变化强调了企业了解网络上的物联网设备、更改默认密码、确保设备及时打补丁的重要性。对于无法修补的设备,要从网络中删除这些设备。

漏洞利用

这个最新的样本共包含27个漏洞,其中有11个是新漏洞。

我们观察到的漏洞的完整列表列在附录中。表1列出了在该样本之前未在野外观察到的攻击,表2列出了该变体中包括的仅在最近野外观察到的其他攻击,但在此之前的变体中被并入。

其它特征

除了包含不寻常的漏洞之外,这个新版本还具有其他一些不同的功能:

· 它使用与Mirai特征相同的加密方案,密钥为0xbeafdead。

·使用此密钥解密字符串,发现了一些我们迄今未遇到的暴力破解的异常默认凭据:

· admin:huigu309

· root:huigu309

· CRAFTSPERSON:ALC#FGU

· root:videoflow

·它使用域名epicrustserver [.] cf监听端口3933用于C2通信。

·除了扫描其他易受攻击的设备外,还可以命令新版本发送HTTP Flood DDos攻击。

基础设施

具有讽刺意味的是,此变体中漏洞利用获取的 shell 脚本有效载荷(在撰写本文时仍处于活动状态)托管在受感染的网站上,该网站属于哥伦比亚的一个“电子安全,集成和警报监控”公司。

​新Mirai Variant瞄准企业无线演示和显示系统

图1漏洞获取的Shell脚本有效载荷

此外,shell脚本下载的二进制文件以“clean.[arch]”格式命名(例如clean.x86,clean.mips等),但它们不再托管在网站上。

对有效载荷源进行追踪,发现一些样本从185[.]248.140.102/bins/获取相同的有效载荷。在升级到这个新的多漏洞利用版本的前几天,相同的IP使用名称格式“eeppinen.[arch]”托管了一些Gafgyt样本。

总结

物联网/ Linux僵尸网络继续扩大其攻击面,要么通过针对过多设备的多个漏洞利用攻击,要么通过添加默认凭据列表,或者两者兼而有之。此外,针对企业漏洞他们可以访问带宽比消费者设备更大的链接,从而为DDoS攻击提供更大的火力。

Palo Alto Networks的客户受到以下保护:

·WildFire检测具有恶意判决的所有相关样本。

· 通过威胁防护和PANDB阻止这些活动中涉及的所有漏洞利用和IP / URL。

AutoFocus客户可以使用各个漏洞标记跟踪这些行为:

· CVE-2018-17173

· WePresentCmdInjection

· DLinkRCE

· ZyxelP660HN_RCE

· CVE-2016-1555

· NetgearDGN2200_RCE

· NetgearProsafeRCE

· NetgearReadyNAS_RCE

· LinksysWAP54Gv3_RCE

· CVE-2013-3568

·  ZTEH108L_RCE

附录参见原文


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

深入理解Java虚拟机

深入理解Java虚拟机

周志明 / 机械工业出版社 / 2011-6 / 69.00元

《深入理解Java虚拟机:JVM高级特性与最佳实践》内容简介:作为一位Java程序员,你是否也曾经想深入理解Java虚拟机,但是却被它的复杂和深奥拒之门外?没关系,本书极尽化繁为简之妙,能带领你在轻松中领略Java虚拟机的奥秘。本书是近年来国内出版的唯一一本与Java虚拟机相关的专著,也是唯一一本同时从核心理论和实际运用这两个角度去探讨Java虚拟机的著作,不仅理论分析得透彻,而且书中包含的典型案......一起来看看 《深入理解Java虚拟机》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

MD5 加密
MD5 加密

MD5 加密工具