曲速未来 警惕:Mirai,Gafgyt IoT僵尸网络正在覆盖企业部门

曲速未来 警惕:Mirai,Gafgyt IoT僵尸网络正在覆盖企业部门_第1张图片

区块链安全咨询公司 曲速未来消息:Mirai和Gafgyt是两个最着名的物联网僵尸网络,它们再次分叉,新的变种在企业部门偷看,用于创建或补充他们的分布式攻击的拒绝服务资源。

Mirai活动正在增加:运营Mirai追踪器的美国安全研究员Troy Mursch曾讲过,Sora并不是唯一一个看到复苏的人,并且Mirai攻击的数量一直在稳步增加。

1.从今年到目前为止,已经从86,063个独特的源IP中观察到与Mirai类似签名匹配的传入流量。

2.峰值于6月开始。就有类似的观察。

“即使设备重新启动,它们也会再次成为新的目标,因为潜在的漏洞永远不会被修补,”Mursch说,指出了对没有安全补丁的过时设备的指责。

在此之前,Mirai将继续困扰物联网场景和整个互联网。

几年前,两种恶意软件的代码都进入了公共空间,有抱负的网络犯罪分子开始催生他们自己的版本。

大多数时候,这些突变并没有什么有趣之处,但最新的替代品显示出对商业设备的偏爱。

据有报告显示,新的Mirai和Gafgyt增加了他们利用一些旧漏洞的漏洞利用代码库。

Mirai现在的目标是运行未修补的Apache Struts的系统,这个版本在去年的Equifax漏洞中遭到攻击。(Equifax是美国最大的消费者信用报告和其他金融服务提供商之一,当时表示,它是攻击的受害者,在那期间,攻击者对超过1.43亿客户的细节进行了抨击。)CVE-2017-5638已经修复了一年多,但除非它被彻底根除,否则网络犯罪分子将有尽可能多的理由将它添加到他们的技巧库中,因为有些设备可以使用它。

曲速未来 警惕:Mirai,Gafgyt IoT僵尸网络正在覆盖企业部门_第2张图片

Mirai包中的漏洞利用数量现已达到16个。其中大部分都是为了破坏路由器,NVR,摄像机和DVR等连接设备。

Gafgyt,也称为Baslite,通过在SonicWall的全球管理系统(GMS)的不受支持的版本中针对新发现的漏洞(CVE-2018-9866,具有完美的严重性评分)来查看业务设备。

曲速未来 警惕:Mirai,Gafgyt IoT僵尸网络正在覆盖企业部门_第3张图片

在针对此漏洞发布Metasploit模块后不到一周,第42单元在8月5日发现了新样本。

感染Gafgyt的设备可以扫描其他成熟的设备,以便妥协并提供适当的利用。恶意软件中存在的另一个命令是发起Blacknurse攻击:一种影响CPU负载的低带宽ICMP攻击,能够对众所周知的防火墙进行拒绝服务。

两个新变种背后的威胁演员相同

如果新Mirai和Gafgy所针对的系统类型只暗示同一个演员在他们后面,安全研究人员发现了证据:两个样本都托管在同一个域中。

8月,该域名解析为不同的IP地址,间歇性地托管了Gafgyt利用SonicWall错误的样本。

Apache Struts利用多漏洞Mirai变种

在新变种中针对Apache Struts的攻击找到了目标CVE-2017-5638,这是一个通过精心设计的Content-Type,Content-Disposition或Content-Length HTTP标头的任意命令执行漏洞。其格式下图所示,有效负载突出显示。

曲速未来 警惕:Mirai,Gafgyt IoT僵尸网络正在覆盖企业部门_第4张图片
图4.CVE-2017-5638漏洞利用格式

SonicWall GMS利用Gafgyt变体

漏洞攻击所针对的漏洞CVE-2018-9866源于缺乏对set_time_config方法的XML-RPC请求的清理。如下图显示了示例中使用的漏洞,其中突出显示了有效负载。

曲速未来 警惕:Mirai,Gafgyt IoT僵尸网络正在覆盖企业部门_第5张图片
图5.SonicWall set_time_config RCE格式  

在针对此漏洞发布Metasploit模块后不到一周,这些样本首次出现在8月5日。然而所发现的样本是使用Gafgyt代码库而不是Mirai构建的。

区块链安全咨询公司曲速未来表示:通过这些物联网/ Linux僵尸网络将针对Apache Struts和SonicWall的攻击结合起来可能表明从消费者设备目标到企业目标的更大变动。

本文内容由 曲速未来 (WarpFuture.com)  安全咨询公司编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。

你可能感兴趣的:(曲速未来 警惕:Mirai,Gafgyt IoT僵尸网络正在覆盖企业部门)