Mirai和Gafgyt殭屍網路新變種近期十分活躍

安全專家警告稱，廣大用戶近期應該小心Mirai和Gafgyt殭屍網路了，因為這兩個臭名昭著的物聯網殭屍網路又開始活躍了起來。

安全專家通過研究發現，Mirai和Gafgyt這兩個殭屍網路近期十分活躍，不排除攻擊者計划進行新一輪大規模網路攻擊的可能性。由於Mirai殭屍網路的源代碼此前已泄露在網路上，緊跟著的就是各種Mirai變種開始泛濫於「江湖」。僅在2018年，就已經出現了類似Satori、Masuta、WickedMirai、 JenX、Omni和OMG等多款Mirai殭屍網路變種。

Gafgyt殭屍網路，又名Bashlite或Lizkebab，該殭屍網路首次出現於2014年，其源代碼泄露於2015年初。根據Flashpoint的研究報告我們可以看到，在2016年9月份，全球範圍內已發現的感染了Bashlite惡意軟體的設備數量就高達數百萬台。

PaloAltoNetwork在其發布的分析報告中指出：「截止至2018年5月底，網路上已經出現了三款基於Mirai和Gafgyt惡意軟體家族的惡意軟體變種源碼了，這些惡意軟體變種的源代碼被直接公布在了互聯網中，任何人都可以隨意獲取並基於它們進行自定義開發，其中的漏洞利用代碼涉及到了多個能夠影響物聯網設備安全性的已知漏洞。根據我們對惡意軟體變種樣本的分析，我們發現一個簡單的惡意軟體變種就能夠一次性利用多達11個安全漏洞來實施攻擊。與之相比，就連臭名昭著的 IoTReaper惡意軟體（該惡意軟體同樣借鑒了Mirai的源代碼，但是它還集成了LUA環境，並自帶有九套漏洞利用代碼）都「黯然失色」了。」

這兩款殭屍網路變種的最新版本能夠利用D-Link DSL-2750B設備的OS命令注入漏洞，並且還集成了多個最新的Metasploit模塊。

安全專家表示，這兩個殭屍網路活動近期突然變得非常活躍，他們推測這兩者之間可能會有某種關聯，很可能是同一攻擊組織所為。

研究人員所發現的第一個惡意活動與Omni殭屍網路（Mirai惡意軟體的最新變種之一）有關。Omni殭屍網路可利用的安全漏洞範圍非常廣，例如DasanGPON路由器的漏洞CVE-2018-10561和CVE-2018-1562，華為路由器的漏洞CVE-2017–17215，D-Link設備的兩個命令執行漏洞，Vacron NVR設備的相關安全漏洞，JAWS Web伺服器的命令執行漏洞，以及超過70家廠商的CCTV和DVR設備漏洞等等。

PaloAlto的研究人員表示，所有的這些漏洞都是已知漏洞，並且已經有很多殭屍網路正在利用這些漏洞實施攻擊，但這也是第一次有Mirai變種一次性利用這十一個漏洞來實施攻擊。

最後一個Mirai變種使用了IP地址213[.]183.53.120來託管Payload，並將其作為命令控制伺服器，而某些Gafgyt樣本同樣也使用的是這個IP地址。

研究人員所觀察到的第二個惡意活動使用的是跟之前相同的漏洞利用機制，但它還會額外進行憑證爆破攻擊。研究人員根據該活動所使用的Shell腳本以及相關代碼名稱，將該活動命名為了Okane。

研究人員表示，跟之前的惡意活動不同的是，這些樣本還會進行憑證暴力破解攻擊，而爆破列表中也有一些不常見的條目，比如說：

root/t0talc0ntr0l4!– Control4設備的默認憑證

admin/adc123– ADCFlexWave Prism設備的默認憑證

mg3500/merlin– Camtron IP 攝像頭設備的默認憑證

該活動中的某些樣本還在Mirai源碼中添加了兩個額外的DDoS功能。

除了上述兩個惡意活動之外，PaloAlto Networks的研究人員還發現了第三個殭屍網路活動，名為Hakai，該殭屍網路會嘗試利用之前介紹的漏洞利用代碼來讓目標設備感染Gafgyt惡意軟體。

PaloAltoNetworks指出，這一波新的網路攻擊活動證明了攻擊者構建大型殭屍網路的能力正在變得越來越強，隨著各種殭屍網路變種源碼泄露在互聯網上，之後還會出現更多不同類型且破壞力更強的殭屍網路攻擊。除此之外，各大廠商也應該提升漏洞補丁的開發效率，儘可能地保護用戶的終端及數據安全。

*參考來源：securityaffairs，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！