Mirai 新变种曝光,针对 D-Link,Netgear 和 SonicWall 设备漏洞

Andrew 2021-03-18
专栏 发布于 2021-03-18 13:57:28 阅读 177 评论 0

Mirai的新变种针对D-Link,Netgear和SonicWall设备中的已知漏洞以及未知IoT设备中的新发现的漏洞。

已发现Mirai僵尸网络的新变种,其针对的是未修补的D-Link,Netgear和SonicWall设备中的大量漏洞,以及未知的物联网(IoT)小工具中前所未有的漏洞。

自2月16日以来,新变种针对的是六个已知漏洞-和三个以前未知的漏洞-以感染系统并将其添加到僵尸网络中。这只是未来的最新变种来光,年恶意软件的源代码后,发布在2016年十月。

帕洛阿尔托网络公司第42小组小组的研究人员周一说:“在撰写本文时,攻击仍在继续。” “在成功利用后,攻击者尝试下载恶意的shell脚本,其中包含进一步的感染行为,例如下载和执行Mirai变体和暴力破解程序。”

初始漏洞利用:新旧漏洞

攻击利用了许多漏洞。利用的已知漏洞包括:SonicWall SSL-VPN漏洞;D-Link DNS-320防火墙利用(CVE-2020-25506); Yealink设备管理远程代码执行(RCE)漏洞(CVE-2021-2756);Netgear ProSAFE Plus RCE漏洞(CVE-2020-26919); Micro Focus Operation Bridge Reporter(CVE-2021-22502)中的RCE漏洞;和Netis WF2419无线路由器漏洞利用(CVE-2019-19356)。

修补程序可解决所有的这些漏洞。僵尸网络以尚未应用可用更新的设备为目标。

例如,SonicWall发言说,“例如,有问题的VisualDoor攻击针对的是一个旧的SSL-VPN固件漏洞,该漏洞已在2015年用7.5.1.4-43sv和8.0.0.4-25sv版本修复在旧产品上。” “对于任何经过适当修补的SonicWall设备,它是不可行的。”

僵尸网络还利用了以前未发现的漏洞。研究人员认为,这些漏洞存在于物联网设备中。

“我们无法确定地说出那些针对未知身份攻击的目标设备是什么,” 42号机的首席研究员张志斌告诉《 Threatpost》。“但是,基于样本中的其他已知漏洞利用,以及历史上选择与Mirai结合使用的漏洞利用的性质,很有可能它们针对物联网设备。”

该漏洞利用程序本身包括两种RCE攻击-包括针对某些组件中的命令注入漏洞的漏洞利用程序;以及针对通用网关接口(CGI)登录脚本的漏洞利用(未正确清理源自关键参数的内容)。研究人员说,第三个漏洞利用针对op_type参数,该参数未正确清理导致命令注入。

研究人员指出,后者“过去曾被Moobot [僵尸网络]使用,但是确切的目标尚不清楚”。Threatpost已与研究人员联系,以获取有关这些未知目标的更多信息。

Mirai僵尸网络:一组二进制文件

初步利用后,该恶意软件会调用wget实用程序(从Web服务器检索内容的合法程序),以便从该恶意软件的基础结构下载Shell脚本。然后,shell脚本会下载几个Mirai二进制文件并逐个执行。

一个这样的二进制文件包括lolol.sh,它具有多种功能。Lolol.sh从目标计算机上删除密钥文件夹(包括具有现有计划作业和启动脚本的密钥文件夹);创建数据包过滤器规则以禁止针对常用的SSH,HTTP和telnet端口的传入流量(以使管理员更难以访问远程访问受影响的系统);并计划一项旨在每小时重新运行lolol.sh脚本(以保持持久性)的作业。研究人员说,值得注意的是,由于cron配置不正确,后一个过程存在漏洞。

另一个二进制文件(install.sh)下载各种文件和软件包-包括GoLang v1.9.4,“ nbrute ”二进制文件(对各种凭据进行暴力破解)和combo.txt文件(其中包含大量凭据组合,用于进行暴力破解) -通过“ nbrute”强制)。

最终的二进制文件称为dark.[arch],它基于Mirai代码库。该二进制文件主要用于传播,可以通过上述各种初始Mirai漏洞利用,也可以通过使用二进制文件中的硬编码凭据的暴力SSH连接来实现。

Mirai变体继续弹出

该变体是依靠Mirai的源代码而来的最新版本,自2016年DNS提供商Dyn大规模分布式拒绝服务(DDoS)拆除以来,它已激增为60多个变体。

据安全研究人员称,去年发现了一个Mirai变种,它使用一个直到最近才发现的严重漏洞,针对Zyxel网络附加存储(NAS)设备。在2019年,发现了一个僵尸网络的变种,它在企业无线演示和显示系统中发现并针对漏洞。并且,使用了2018年的变体针对金融行业企业发起了一系列DDoS运动。

研究人员说,这里最大的收获是,连接的设备继续给用户带来安全问题。他们强烈建议客户在可能的情况下应用补丁。

根据Unit 42的报告,“ IoT领域仍然是攻击者易于访问的目标”。“许多漏洞非常容易利用,在某些情况下可能会带来灾难性的后果。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!