僵尸网络Mirai和Gafgyt最新变种目标瞄准Apache Struts和SonicWall

Palo Alto Networks公司旗下Unit 42威胁研究团队在上周日（9月9日）发布的一篇博文中指出，他们已经发现了众所周知的物联网僵尸网络Mirai和Gafgyt的新变种。这是两个在2016年11月之后出现的僵尸网络，主要以物联网设备为攻击目标。

根据Unit 42的说法，新的Mirai变种针对的是与2017年Equifax数据泄露事件相关的Apache Struts漏洞，而新的Gafgyt变种针对的是一个最近才被公开披露的漏洞，该漏洞会影响到不再受支持的旧版SonicWall全球管理系统（GMS）。

利用Apache Struts漏洞的Mirai变种

Unit 42表示，他们是在上周五（9月7日）发现了Mirai新变种的样本，其中包含了针对16个不同漏洞的利用程序。虽然Unit42表示他们在过去也曾发现过一个Mirai变种同时利用了多个漏洞，但他们还是首次发现Mirai僵尸网络开始利用存在于Apache Struts中的漏洞。

通过对这个Mirai新变种的分析，Unit 42发现它所针对的Apache Struts漏洞是CVE-2017-5638，这是一个通过精心设计的Content-Type、Content-Disposition或Content-Length HTTP标头的来执行任意命令的漏洞。漏洞利用代码见下图，红框中的内容是payload。

图1.CVE-2017-5638漏洞利用代码

另外，这个Mirai新变种所针对的其他15个漏洞见下表：

表1. Mirai新变种所针对的其他15个漏洞

针对SonicWall GMS的Gafgyt变种

Unit 42发现，目前被用于托管Mirai样本的域名在8月份之前也托管了Gafgyt样本，该样本包含针对SonicWall漏洞（CVE-2018-9866）的利用程序。正如文章一开头所提到的那样，这个漏洞影响的是旧版本的SonicWall全球管理系统（GMS）。

该漏洞源于缺乏对set_time_config方法的XML-RPC请求的清理，漏洞利用代码见下图，红框中的内容是payload。

图2. CVE-2018-9866漏洞利用代码

根据Unit 42的说法，这些最初在8月5日出现的样本基于Gafgyt僵尸网络的代码库，而不是Mirai。它们所支持的一些命令见下表：

表2. Gafgyt变种支持的一些命令  

Blacknurse是一种低带宽DDoS攻击，基于含有Type 3 Code 3数据包的ICMP，最初在2016年被发现，据称能够攻击大型防火墙保护下的服务器，包括Cisco Systems、Palo Alto Networks、SonicWall和Zyxel的防火墙。

结论

Unit 42的发现表明，诸如Mirai和Gafgyt这样的物联网僵尸网络似乎正在将目光越来越多地投向一些过时的设备。针对Apache Struts和SonicWall的攻击也表明，这些僵尸网络的运营商正在将目标从普通用户转向企业用户。因此，无论企业规模大小，都应该确保自己使用的系统始终保持在最新版本并及时安装新发布的补丁，同时也应该确保物联网设备置身于安全的网络环境中。