据Palo Alto Network的Unit 42网络安全团队的研究人员称,Mirai的一个新变种--用于发动大规模DDoS攻击的僵尸网络恶意软件--一直在针对连接到Linux服务器的物联网设备的13个漏洞。
一旦易受攻击的设备被称为V3G4的变种攻破,它们就能被攻击者完全控制,成为僵尸网络的一部分,能够被用来进行进一步的活动,包括DDoS攻击。
"单位42在其关于新变种的报告中说:"与以前观察到的变种相比,这些漏洞的攻击复杂性较低,但它们保持了关键的安全影响,可导致远程代码执行。
去年7月至12月期间,在三个活动中观察到V3G4活动,42号单位说。
据研究人员说,所有这三个活动似乎都与同一个变体和Mirai僵尸网络有关,原因有几个。他们注意到,具有硬编码的命令和控制(C2)基础设施的域--用于保持与受感染设备的通信--包含相同的字符串格式。此外,贝壳脚本的下载是相似的,所有攻击中使用的僵尸网络具有相同的功能。
部署V3G4的威胁行为者利用了可能导致远程代码执行的漏洞,Code 42说。一旦执行,该恶意软件有一个功能是检查主机设备是否已经被感染。如果它已经被感染,它将退出设备。它还试图从一个硬编码列表中禁用一组进程,其中包括其他竞争的僵尸网络恶意软件家族。
V2G4 Mirai变体如何工作
研究人员指出,虽然大多数Mirai变体使用相同的密钥进行字符串加密,但V3G4变体在不同的情况下使用不同的XOR加密密钥(XOR是加密中经常使用的布尔逻辑操作)。 V3G4打包了一套默认或薄弱的登录凭证,它用来通过Telnet和SSH网络协议进行暴力攻击,并传播到其他机器。42号单位说,在此之后,它与C2服务器建立联系,等待接收命令,对目标发起DDoS攻击。
V3G4利用的漏洞包括Asterisk通信服务器的FreePBX管理工具(漏洞CVE-2012-4869);Atlassian Confluence(CVE-2022-26134);Webmin系统管理工具(CVE-2019-15107);DrayTek Vigor ruters(CVE-2020-8515:和CVE-2020-15415);以及C-Data网络管理系统(CVE-2022-4257)。
关于到目前为止已经观察到的被利用的漏洞的完整列表,对可以检测和防止感染的网络安全软件的建议,以及作为入侵迹象的代码片段,请看Palo Alto的咨询。Unit 42团队还建议在可能的情况下,应用补丁和更新来补救这些漏洞。
Mirai僵尸网络如何发展
在过去的几年里,Mirai试图将其触角缠绕在SD-WAN上,针对企业视频会议系统,并利用Aboriginal Linux感染多个平台。
Mirai僵尸网络是由罗格斯大学本科生Paras Jha开发的一系列恶意软件包的迭代。Jha以 "Anna-Senpai "的名义在网上发布,并将其命名为Mirai(日语中的 "未来")。该僵尸网络封装了一些巧妙的技术,包括一个硬编码的密码列表。
2016年12月,贾和他的同伙对与Mirai攻击有关的罪行认罪。但那时代码已经在野外,并被用作更多僵尸网络控制器的构建模块。
这意味着任何人都可以用它来尝试感染物联网设备和发动DDoS攻击,或者将这种能力卖给出价最高的人。许多网络犯罪分子就是这样做的,或者正在调整和改进代码,使其更难对付。
Mirai的第一波大型攻击发生在2016年9月19日,被用来对付法国主机OVH。Mirai还负责2016年对DNS供应商Dyn的DDoS攻击,其中涉及约10万台受感染的设备。结果,欧洲和北美的用户无法使用主要的互联网平台和服务。