曲速未來 警惕:Mirai,Gafgyt IoT僵屍網路正在覆蓋企業部門
區塊鏈安全諮詢公司 曲速未來 訊息:Mirai和Gafgyt是兩個最著名的物聯網僵屍網路,它們再次分叉,新的變種在企業部門偷看,用於建立或補充他們的分散式攻擊的拒絕服務資源。
Mirai活動正在增加:運營Mirai追蹤器的美國安全研究員Troy Mursch曾講過,Sora並不是唯一一個看到復甦的人,並且Mirai攻擊的數量一直在穩步增加。
1.從今年到目前為止,已經從86,063個獨特的源IP中觀察到與Mirai類似簽名匹配的傳入流量。
2.峰值於6月開始。就有類似的觀察。
“即使裝置重新啟動,它們也會再次成為新的目標,因為潛在的漏洞永遠不會被修補,”Mursch說,指出了對沒有安全補丁的過時裝置的指責。
在此之前,Mirai將繼續困擾物聯網場景和整個網際網路。
幾年前,兩種惡意軟體的程式碼都進入了公共空間,有抱負的網路犯罪分子開始催生他們自己的版本。
大多數時候,這些突變並沒有什麼有趣之處,但最新的替代品顯示出對商業裝置的偏愛。
據有報告顯示,新的Mirai和Gafgyt增加了他們利用一些舊漏洞的漏洞利用程式碼庫。
Mirai現在的目標是執行未修補的Apache Struts的系統,這個版本在去年的Equifax漏洞中遭到攻擊。(Equifax是美國最大的消費者信用報告和其他金融服務提供商之一,當時表示,它是攻擊的受害者,在那期間,攻擊者對超過1.43億客戶的細節進行了抨擊。)CVE-2017-5638已經修復了一年多,但除非它被徹底根除,否則網路犯罪分子將有儘可能多的理由將它新增到他們的技巧庫中,因為有些裝置可以使用它。
Mirai包中的漏洞利用數量現已達到16個。其中大部分都是為了破壞路由器,NVR,攝像機和DVR等連線裝置。
Gafgyt,也稱為Baslite,通過在SonicWall的全球管理系統(GMS)的不受支援的版本中針對新發現的漏洞(CVE-2018-9866,具有完美的嚴重性評分)來檢視業務裝置。
在針對此漏洞釋出Metasploit模組後不到一週,第42單元在8月5日發現了新樣本。
感染Gafgyt的裝置可以掃描其他成熟的裝置,以便妥協並提供適當的利用。惡意軟體中存在的另一個命令是發起Blacknurse攻擊:一種影響CPU負載的低頻寬ICMP攻擊,能夠對眾所周知的防火牆進行拒絕服務。
兩個新變種背後的威脅演員相同
如果新Mirai和Gafgy所針對的系統型別只暗示同一個演員在他們後面,安全研究人員發現了證據:兩個樣本都託管在同一個域中。
8月,該域名解析為不同的IP地址,間歇性地託管了Gafgyt利用SonicWall錯誤的樣本。
Apache Struts利用多漏洞Mirai變種
在新變種中針對Apache Struts的攻擊找到了目標CVE-2017-5638,這是一個通過精心設計的Content-Type,Content-Disposition或Content-Length HTTP標頭的任意命令執行漏洞。其格式下圖所示,有效負載突出顯示。
SonicWall GMS利用Gafgyt變體
漏洞攻擊所針對的漏洞CVE-2018-9866源於缺乏對set_time_config方法的XML-RPC請求的清理。如下圖顯示了示例中使用的漏洞,其中突出顯示了有效負載。
在針對此漏洞釋出Metasploit模組後不到一週,這些樣本首次出現在8月5日。然而所發現的樣本是使用Gafgyt程式碼庫而不是Mirai構建的。
區塊鏈安全諮詢公司 曲速未來 表示:通過這些物聯網/ Linux僵屍網路將針對Apache Struts和SonicWall的攻擊結合起來可能表明從消費者裝置目標到企業目標的更大變動。
本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司編譯,轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。