Mirai 新變種曝光,針對 D-Link,Netgear 和 SonicWall 設備漏洞
Mirai的新變種針對D-Link,Netgear和SonicWall設備中的已知漏洞以及未知IoT設備中的新發現的漏洞。
已發現Mirai僵尸網絡的新變種,其針對的是未修補的D-Link,Netgear和SonicWall設備中的大量漏洞,以及未知的物聯網(IoT)小工具中前所未有的漏洞。
自2月16日以來,新變種針對的是六個已知漏洞-和三個以前未知的漏洞-以感染系統并將其添加到僵尸網絡中。這只是未來的最新變種來光,年惡意軟件的源代碼后,發布在2016年十月。
帕洛阿爾托網絡公司第42小組小組的研究人員周一說:“在撰寫本文時,攻擊仍在繼續。” “在成功利用后,攻擊者嘗試下載惡意的shell腳本,其中包含進一步的感染行為,例如下載和執行Mirai變體和暴力破解程序。”
初始漏洞利用:新舊漏洞
攻擊利用了許多漏洞。利用的已知漏洞包括:SonicWall SSL-VPN漏洞;D-Link DNS-320防火墻利用(CVE-2020-25506); Yealink設備管理遠程代碼執行(RCE)漏洞(CVE-2021-2756);Netgear ProSAFE Plus RCE漏洞(CVE-2020-26919); Micro Focus Operation Bridge Reporter(CVE-2021-22502)中的RCE漏洞;和Netis WF2419無線路由器漏洞利用(CVE-2019-19356)。
修補程序可解決所有的這些漏洞。僵尸網絡以尚未應用可用更新的設備為目標。
例如,SonicWall發言說,“例如,有問題的VisualDoor攻擊針對的是一個舊的SSL-VPN固件漏洞,該漏洞已在2015年用7.5.1.4-43sv和8.0.0.4-25sv版本修復在舊產品上。” “對于任何經過適當修補的SonicWall設備,它是不可行的。”
僵尸網絡還利用了以前未發現的漏洞。研究人員認為,這些漏洞存在于物聯網設備中。
“我們無法確定地說出那些針對未知身份攻擊的目標設備是什么,” 42號機的首席研究員張志斌告訴《 Threatpost》。“但是,基于樣本中的其他已知漏洞利用,以及歷史上選擇與Mirai結合使用的漏洞利用的性質,很有可能它們針對物聯網設備。”
該漏洞利用程序本身包括兩種RCE攻擊-包括針對某些組件中的命令注入漏洞的漏洞利用程序;以及針對通用網關接口(CGI)登錄腳本的漏洞利用(未正確清理源自關鍵參數的內容)。研究人員說,第三個漏洞利用針對op_type參數,該參數未正確清理導致命令注入。
研究人員指出,后者“過去曾被Moobot [僵尸網絡]使用,但是確切的目標尚不清楚”。Threatpost已與研究人員聯系,以獲取有關這些未知目標的更多信息。
Mirai僵尸網絡:一組二進制文件
初步利用后,該惡意軟件會調用wget實用程序(從Web服務器檢索內容的合法程序),以便從該惡意軟件的基礎結構下載Shell腳本。然后,shell腳本會下載幾個Mirai二進制文件并逐個執行。
一個這樣的二進制文件包括lolol.sh,它具有多種功能。Lolol.sh從目標計算機上刪除密鑰文件夾(包括具有現有計劃作業和啟動腳本的密鑰文件夾);創建數據包過濾器規則以禁止針對常用的SSH,HTTP和telnet端口的傳入流量(以使管理員更難以訪問遠程訪問受影響的系統);并計劃一項旨在每小時重新運行lolol.sh腳本(以保持持久性)的作業。研究人員說,值得注意的是,由于cron配置不正確,后一個過程存在漏洞。
另一個二進制文件(install.sh)下載各種文件和軟件包-包括GoLang v1.9.4,“ nbrute ”二進制文件(對各種憑據進行暴力破解)和combo.txt文件(其中包含大量憑據組合,用于進行暴力破解) -通過“ nbrute”強制)。
最終的二進制文件稱為dark.[arch],它基于Mirai代碼庫。該二進制文件主要用于傳播,可以通過上述各種初始Mirai漏洞利用,也可以通過使用二進制文件中的硬編碼憑據的暴力SSH連接來實現。
Mirai變體繼續彈出
該變體是依靠Mirai的源代碼而來的最新版本,自2016年DNS提供商Dyn大規模分布式拒絕服務(DDoS)拆除以來,它已激增為60多個變體。
據安全研究人員稱,去年發現了一個Mirai變種,它使用一個直到最近才發現的嚴重漏洞,針對Zyxel網絡附加存儲(NAS)設備。在2019年,發現了一個僵尸網絡的變種,它在企業無線演示和顯示系統中發現并針對漏洞。并且,使用了2018年的變體針對金融行業企業發起了一系列DDoS運動。
研究人員說,這里最大的收獲是,連接的設備繼續給用戶帶來安全問題。他們強烈建議客戶在可能的情況下應用補丁。
根據Unit 42的報告,“ IoT領域仍然是攻擊者易于訪問的目標”。“許多漏洞非常容易利用,在某些情況下可能會帶來災難性的后果。”
