曲速未來(lái) 警惕:Mirai,Gafgyt IoT僵尸網(wǎng)絡(luò)正在覆蓋企業(yè)部門區(qū)塊鏈
區(qū)塊鏈安全咨詢公司曲速未來(lái)消息:Mirai和Gafgyt是兩個(gè)最著名的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò),它們?cè)俅畏植妫碌淖兎N在企業(yè)部門偷看,用于創(chuàng)建或補(bǔ)充他們的分布式攻擊的拒絕服務(wù)資源。
區(qū)塊鏈安全咨詢公司 曲速未來(lái) 消息:Mirai和Gafgyt是兩個(gè)最著名的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò),它們?cè)俅畏植妫碌淖兎N在企業(yè)部門偷看,用于創(chuàng)建或補(bǔ)充他們的分布式攻擊的拒絕服務(wù)資源。
Mirai活動(dòng)正在增加:運(yùn)營(yíng)Mirai追蹤器的美國(guó)安全研究員Troy Mursch曾講過(guò),Sora并不是唯一一個(gè)看到復(fù)蘇的人,并且Mirai攻擊的數(shù)量一直在穩(wěn)步增加。
1.從今年到目前為止,已經(jīng)從86,063個(gè)獨(dú)特的源IP中觀察到與Mirai類似簽名匹配的傳入流量。
2.峰值于6月開(kāi)始。就有類似的觀察。
“即使設(shè)備重新啟動(dòng),它們也會(huì)再次成為新的目標(biāo),因?yàn)闈撛诘穆┒从肋h(yuǎn)不會(huì)被修補(bǔ),”Mursch說(shuō),指出了對(duì)沒(méi)有安全補(bǔ)丁的過(guò)時(shí)設(shè)備的指責(zé)。
在此之前,Mirai將繼續(xù)困擾物聯(lián)網(wǎng)場(chǎng)景和整個(gè)互聯(lián)網(wǎng)。
幾年前,兩種惡意軟件的代碼都進(jìn)入了公共空間,有抱負(fù)的網(wǎng)絡(luò)犯罪分子開(kāi)始催生他們自己的版本。
大多數(shù)時(shí)候,這些突變并沒(méi)有什么有趣之處,但最新的替代品顯示出對(duì)商業(yè)設(shè)備的偏愛(ài)。
據(jù)有報(bào)告顯示,新的Mirai和Gafgyt增加了他們利用一些舊漏洞的漏洞利用代碼庫(kù)。
Mirai現(xiàn)在的目標(biāo)是運(yùn)行未修補(bǔ)的Apache Struts的系統(tǒng),這個(gè)版本在去年的Equifax漏洞中遭到攻擊。(Equifax是美國(guó)最大的消費(fèi)者信用報(bào)告和其他金融服務(wù)提供商之一,當(dāng)時(shí)表示,它是攻擊的受害者,在那期間,攻擊者對(duì)超過(guò)1.43億客戶的細(xì)節(jié)進(jìn)行了抨擊。)CVE-2017-5638已經(jīng)修復(fù)了一年多,但除非它被徹底根除,否則網(wǎng)絡(luò)犯罪分子將有盡可能多的理由將它添加到他們的技巧庫(kù)中,因?yàn)橛行┰O(shè)備可以使用它。
Mirai包中的漏洞利用數(shù)量現(xiàn)已達(dá)到16個(gè)。其中大部分都是為了破壞路由器,NVR,攝像機(jī)和DVR等連接設(shè)備。
Gafgyt,也稱為Baslite,通過(guò)在SonicWall的全球管理系統(tǒng)(GMS)的不受支持的版本中針對(duì)新發(fā)現(xiàn)的漏洞(CVE-2018-9866,具有完美的嚴(yán)重性評(píng)分)來(lái)查看業(yè)務(wù)設(shè)備。
在針對(duì)此漏洞發(fā)布Metasploit模塊后不到一周,第42單元在8月5日發(fā)現(xiàn)了新樣本。
感染Gafgyt的設(shè)備可以掃描其他成熟的設(shè)備,以便妥協(xié)并提供適當(dāng)?shù)睦谩阂廛浖写嬖诘牧硪粋€(gè)命令是發(fā)起B(yǎng)lacknurse攻擊:一種影響CPU負(fù)載的低帶寬ICMP攻擊,能夠?qū)Ρ娝苤姆阑饓M(jìn)行拒絕服務(wù)。
兩個(gè)新變種背后的威脅演員相同
如果新Mirai和Gafgy所針對(duì)的系統(tǒng)類型只暗示同一個(gè)演員在他們后面,安全研究人員發(fā)現(xiàn)了證據(jù):兩個(gè)樣本都托管在同一個(gè)域中。
8月,該域名解析為不同的IP地址,間歇性地托管了Gafgyt利用SonicWall錯(cuò)誤的樣本。
Apache Struts利用多漏洞Mirai變種
在新變種中針對(duì)Apache Struts的攻擊找到了目標(biāo)CVE-2017-5638,這是一個(gè)通過(guò)精心設(shè)計(jì)的Content-Type,Content-Disposition或Content-Length HTTP標(biāo)頭的任意命令執(zhí)行漏洞。其格式下圖所示,有效負(fù)載突出顯示。
圖4.CVE-2017-5638漏洞利用格式
SonicWall GMS利用Gafgyt變體
漏洞攻擊所針對(duì)的漏洞CVE-2018-9866源于缺乏對(duì)set_time_config方法的XML-RPC請(qǐng)求的清理。如下圖顯示了示例中使用的漏洞,其中突出顯示了有效負(fù)載。
圖5.SonicWall set_time_config RCE格式
在針對(duì)此漏洞發(fā)布Metasploit模塊后不到一周,這些樣本首次出現(xiàn)在8月5日。然而所發(fā)現(xiàn)的樣本是使用Gafgyt代碼庫(kù)而不是Mirai構(gòu)建的。
區(qū)塊鏈安全咨詢公司 曲速未來(lái) 表示:通過(guò)這些物聯(lián)網(wǎng)/ Linux僵尸網(wǎng)絡(luò)將針對(duì)Apache Struts和SonicWall的攻擊結(jié)合起來(lái)可能表明從消費(fèi)者設(shè)備目標(biāo)到企業(yè)目標(biāo)的更大變動(dòng)。
本文內(nèi)容由 曲速未來(lái)安全咨詢公司編譯,轉(zhuǎn)載請(qǐng)注明。 曲速未來(lái)提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開(kāi)發(fā)安全、智能合約開(kāi)發(fā)安全等相關(guān)區(qū)塊鏈安全咨詢服務(wù)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
