曲速未來 警惕:Mirai,Gafgyt IoT僵尸網絡正在覆蓋企業部門區塊鏈
區塊鏈安全咨詢公司曲速未來消息:Mirai和Gafgyt是兩個最著名的物聯網僵尸網絡,它們再次分叉,新的變種在企業部門偷看,用于創建或補充他們的分布式攻擊的拒絕服務資源。
區塊鏈安全咨詢公司 曲速未來 消息:Mirai和Gafgyt是兩個最著名的物聯網僵尸網絡,它們再次分叉,新的變種在企業部門偷看,用于創建或補充他們的分布式攻擊的拒絕服務資源。
Mirai活動正在增加:運營Mirai追蹤器的美國安全研究員Troy Mursch曾講過,Sora并不是唯一一個看到復蘇的人,并且Mirai攻擊的數量一直在穩步增加。
1.從今年到目前為止,已經從86,063個獨特的源IP中觀察到與Mirai類似簽名匹配的傳入流量。
2.峰值于6月開始。就有類似的觀察。
“即使設備重新啟動,它們也會再次成為新的目標,因為潛在的漏洞永遠不會被修補,”Mursch說,指出了對沒有安全補丁的過時設備的指責。
在此之前,Mirai將繼續困擾物聯網場景和整個互聯網。
幾年前,兩種惡意軟件的代碼都進入了公共空間,有抱負的網絡犯罪分子開始催生他們自己的版本。
大多數時候,這些突變并沒有什么有趣之處,但最新的替代品顯示出對商業設備的偏愛。
據有報告顯示,新的Mirai和Gafgyt增加了他們利用一些舊漏洞的漏洞利用代碼庫。
Mirai現在的目標是運行未修補的Apache Struts的系統,這個版本在去年的Equifax漏洞中遭到攻擊。(Equifax是美國最大的消費者信用報告和其他金融服務提供商之一,當時表示,它是攻擊的受害者,在那期間,攻擊者對超過1.43億客戶的細節進行了抨擊。)CVE-2017-5638已經修復了一年多,但除非它被徹底根除,否則網絡犯罪分子將有盡可能多的理由將它添加到他們的技巧庫中,因為有些設備可以使用它。
Mirai包中的漏洞利用數量現已達到16個。其中大部分都是為了破壞路由器,NVR,攝像機和DVR等連接設備。
Gafgyt,也稱為Baslite,通過在SonicWall的全球管理系統(GMS)的不受支持的版本中針對新發現的漏洞(CVE-2018-9866,具有完美的嚴重性評分)來查看業務設備。
在針對此漏洞發布Metasploit模塊后不到一周,第42單元在8月5日發現了新樣本。
感染Gafgyt的設備可以掃描其他成熟的設備,以便妥協并提供適當的利用。惡意軟件中存在的另一個命令是發起Blacknurse攻擊:一種影響CPU負載的低帶寬ICMP攻擊,能夠對眾所周知的防火墻進行拒絕服務。
兩個新變種背后的威脅演員相同
如果新Mirai和Gafgy所針對的系統類型只暗示同一個演員在他們后面,安全研究人員發現了證據:兩個樣本都托管在同一個域中。
8月,該域名解析為不同的IP地址,間歇性地托管了Gafgyt利用SonicWall錯誤的樣本。
Apache Struts利用多漏洞Mirai變種
在新變種中針對Apache Struts的攻擊找到了目標CVE-2017-5638,這是一個通過精心設計的Content-Type,Content-Disposition或Content-Length HTTP標頭的任意命令執行漏洞。其格式下圖所示,有效負載突出顯示。
圖4.CVE-2017-5638漏洞利用格式
SonicWall GMS利用Gafgyt變體
漏洞攻擊所針對的漏洞CVE-2018-9866源于缺乏對set_time_config方法的XML-RPC請求的清理。如下圖顯示了示例中使用的漏洞,其中突出顯示了有效負載。
圖5.SonicWall set_time_config RCE格式
在針對此漏洞發布Metasploit模塊后不到一周,這些樣本首次出現在8月5日。然而所發現的樣本是使用Gafgyt代碼庫而不是Mirai構建的。
區塊鏈安全咨詢公司 曲速未來 表示:通過這些物聯網/ Linux僵尸網絡將針對Apache Struts和SonicWall的攻擊結合起來可能表明從消費者設備目標到企業目標的更大變動。
本文內容由 曲速未來安全咨詢公司編譯,轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
