新版Mirai来袭——攻击目标锁定企业设备

关注 2019-04-15 08:09:38 查看数 7703 ,评论数 0 资讯

Mirai是由Paras Jha、Josiah White和Dalton Norman(均已被捕)创建的可自我传播的僵尸网络,最初设计用于瞄准物联网(IoT)设备,如路由器、数字视频录像机和IP摄像机,攻击成功后会将其转换为“僵尸”设备,随后用于更大规模的分布式拒绝服务(DDoS)攻击。


Mirai早在2016年就被用于大规模的DDoS攻击,自此声名鹊起。它所针对的一些攻击对象包括:网络托管服务提供商OVH、DNS提供商Dyn和Brian Krebs网站。


综述


今年1月初,知名网络安全公司Palo Alto Networks的Unit 42部门发现了此前“大名鼎鼎”的IoT / Linux僵尸网络Mirai推出了一个新变种。Unit 42此次发现的这一新变种相比以往版本,最值得注意的“升级”是它开始针对不同的嵌入式设备(如路由器、网络存储设备、NVRs和IP摄像头)。


特别需要注意的是,Unit 42发现新版Mirai针对WePresent WiPG-1000无线演示系统和LG Supersign电视,而这两种设备大量存在于各企业办公环境中。通过这一转变,研究人员推测Mirai幕后攻击人员将开始针对企业目标展开行动。在以往案例中,研究人员观察到僵尸网络曾针对企业使用的Apache Struts和SonicWall的漏洞进行攻击。


除了攻击目标更加广泛之外,新版Mirai还包括了更大的漏洞利用库,以及用于对设备进行强力攻击的新凭据。这些新功能为该僵尸网络提供了更大的攻击面。特别是,针对企业链接还允许它访问更大的带宽,最终导致僵尸网络为DDoS攻击提供更大的“火力”。


利用的漏洞


在最新的Mirai僵尸网络样本中共发现其可以利用27个漏洞,其中有11个是Mirai新增的漏洞。研究人员观察到的部分漏洞列表如下所示:

新版Mirai中利用的部分新增漏洞


Mirai僵尸网络基础设施


研究人员在进一步调查后发现,该僵尸网络的恶意有效负载(shell脚本)托管在哥伦比亚的一个受损网站上,C2服务器位于epicrustserver[.]cf:23823。

shell脚本恶意有效负载


对恶意有效负载来源进行分析后,研究人员发现其位于185[.]248.140.102/bins/。在此次Mirai升级的前几天,这一IP地址正托管着eeppinen.[arch]名称格式的Gafgyt样本。

部分新版Mirai样本

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...