Mirai變種殭屍網路預警：針對金融行業發起大規模DDoS攻擊

「用指尖改變世界」

網路安全公司RecordedFuture的威脅研究小組Insikt Group在上周四發表的一篇博文中給我們帶來了關於Mirai殭屍網路的最新動態。在今年1月下旬，Mirai殭屍網路的一個變種針對金融業企業發起了一系列DDoS攻擊。

Insikt Group表示，攻擊事件中的殭屍網路可能與Mirai殭屍網路的變種IoTroop（又稱Reaper）存在密切聯繫。到目前為止，至少已經有三家歐洲金融機構成為了攻擊事件的受害者。

什麼是IoTroop殭屍網路？

在2017年10月29日，以色列網路安全公司Check Point在其發布的技術報告中表示，他們的安全團隊發現了一個代號為IoTroop的新型殭屍網路。它由多種受到感染的物聯網設備組成，如路由器和無線網路攝像頭，而這些設備大多數是由TP-Link、Avtech、MikroTik、Linksys、Synology和GoAhead等公司生產的。

Check Point表示，雖然IoTroop用於傳播殭屍網路的惡意軟體（也被稱為Reaper）使用了一些Mirai的代碼，但它卻是一種全新的惡意軟體和威脅。

它的獨特之處在於惡意軟體是使用靈活的Lua引擎和腳本構建的，這意味著它不會受限於Mirai殭屍網路的靜態預編程攻擊。其代碼可以隨時輕鬆更新，只要大規模的殭屍網路一旦構建完成，就可以發起新的且更具破壞力的攻擊。

IoTroop比Mirai更加負責，除了弱憑證，它還被認定至少可以利用十幾個漏洞，並能夠隨時添加最新披露的漏洞。漏洞詳細列表如下：

三家機構在同一天遭遇DDoS攻擊

Insikt Group表示，第一起攻擊事件發生在2018 年1月28日18:30左右。參與攻擊的殭屍網路至少由1.3萬台物聯網設備組成，每台設備都有一個唯一的IP地址。另外，這起攻擊實施了DNS放大技術，攻擊峰值流量達到了30 Gbps。

第二起攻擊事件幾乎是與第一起攻擊事件同時發生的。基於殭屍網路基礎設施的使用和攻擊的時間，Insikt Group認為這起攻擊是由相同的Mirai變種殭屍網路發起的。

進一步的分析結果證實了Insikt Group的觀點，這這起攻擊事件中，受害者企業的IP地址與26個唯一的IP地址進行了通信，而其中19個參與了對第一家金融機構的攻擊。

而第三起攻擊事件則發生在2018 年1月28日21:00左右，也就是僅在前兩起事件發生後的短短几個小時里。

殭屍網路主要由MikroTik設備組成

據Insikt Group稱，在這個殭屍網路中有80％是受感染的MikroTik路由器，其餘20％由其他多種物聯網設備組成，包括易受攻擊的Apache和IIS網路伺服器以及由Ubiquity、Cisco和ZyXEL生產的路由器。

這些設備分布於139個不同的國家和地區，主要來自俄羅斯、巴西和烏克蘭。不過，這種分布並不能反映出任何與該殭屍網路配置相關的具體內容，這可能僅僅只能反映出MikroTik的產品在這些國家相對比較流行。

Insikt Group還表示，他們還在這20％的物聯網設備中發現了網路攝像頭、智能電視機和數字視頻錄像機（DVR），而這些設備主要都是由MikroTik、GoAhead、Ubiquity、Linksys、TP-Link和大華等知名廠商生產的。

值得注意的是，雖然許多易受攻擊的設備在之前的報告中已經被提到，但諸如大華CCTV DVR、三星UE55D7000電視以及基於Contiki操作系統的設備似乎是首次被發現也容易遭受IoTroop殭屍網路的攻擊。這意味著IoTroop殭屍網路正在演變，通過增添能夠利用新的物聯網設備漏洞的代碼進行著「進化」。

IoTroop殭屍網路背後開發者仍是謎

在2018年2月，荷蘭警方逮捕了一名18歲的男子，因涉嫌對幾家荷蘭企業（包括技術網站Tweakers和互聯網服務提供商Tweak）發動了DDoS攻擊。

Insikt Group懷疑，這名男子可能也與最近針對三家歐洲金融機構的DDoS攻擊事件有關，但目前尚未得到警方的證實。

根據荷蘭媒體Tweakers的報道，被捕男子似乎只是通過租用殭屍網路在2017年9月份的攻擊中進行了使用。這也就是說，即使該男子最終被認定與今年1月份的DDoS攻擊事件有關，他也可能僅僅是從IoTroop背後團隊那裡租用了這個Mirai變種物聯網殭屍網路。

因此，Insikt Group表示他們並不清楚IoTroop殭屍網路的背後開發者究竟是誰，甚至目前也無法確定是誰執行了今年1月份的攻擊活動。

如何避免自己的設備成為殭屍網路的一部分

Insikt Group表示，組成IoTroop殭屍網路的MikroTik設備都存在一個共同的問題，那就是啟用了TCP埠2000。這是一個為MikroTik帶寬測試伺服器協議保留的埠，事實證明這個埠似乎成了IoTroop殭屍網路感染設備的一個突破口。更糟糕的是，對於新的MikroTik設備來說，這個埠是默認啟用的。

對此，InsiktGroup對希望阻止自己的物聯網設備成為無論何種殭屍網路一部分的企業提出了一系列建議，這包括：

在準備啟用物聯網設備時務必修改默認密碼；

確保設備固件保持更新並處於最新版本狀態；

對於需要遠程訪問的設備（如網路攝像頭）或者系統，請使用虛擬專用網路（VPN）；

最後，禁用不必要的服務（例如Telnet），並關閉物聯網設備不需要的埠。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！