热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

新Mirai变种利用多种漏洞,IoT设备恐陷入危机

来源:MottoIN 2019.05.27

 趋势科技的研究人员近日发现了Mirai僵尸网络的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),它使用了总共13种不同的漏洞,几乎所有漏洞都在以前的Mirai相关攻击中使用过。 

此次发现的是另一种典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这却是第一个发现如此多漏洞同时利用的案例。

据悉,新Mirai攻击活动发生在趋势科技上次报道 Mirai活动后的几周,当时它针对的是各种路由器。而目前这一变体也使用了先前攻击中利用的一些漏洞。

 

新Mirai变种

研究人员对新变种的初步发现得益于其设置的一个蜜罐,致力于检测与物联网(IoT)相关的攻击。检测结果显示这种恶意软件使用了不同的传播方式,并且还揭示了它使用三个XOR密钥来加密数据。使用XOR解密恶意软件的字符串揭示了此恶意软件的第一个相关指标之一为Mirai变体。解密的字符串可以在下图中看到:

  • 0x22(标准Mirai字符串)
  • 0x37(带“watchdog”的字符串)
  • 0xea(暴力攻击的凭证:“telecomadmin”,“admintelecom”等)

 

显示Mirai连接的解密字符串

研究人员还发现了此变体使用的不同URL。下面列表中的第一个URL用作命令和控制(C&C)链接,其余用作下载和安装链接。在下载和安装链接中,值得注意的是使用了hopTo,这是一个免费的动态DNS(域名服务器)提供程序。

  • hxxp://32[.]235[.]102[.]123:1337
  • hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7
  • hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips
  • hxxp://ililililililililil[.]hopto[.]org/love.sh

 

通过查看新变种的代码,揭示了有关它如何传播的更多细节,特别是它利用了13种不同的漏洞。前三个漏洞是针对Web开发格式ThinkPHP以及某些华为和Linksys路由器中发现的易损扫描程序。

Mirai变种代码中显示的3个扫描仪功能

 

可以在exploit_worker()中找到此攻击中使用的其余10个漏洞的扫描程序,如下图所示:

Mirai变种代码显示的剩余10个漏洞

 

研究人员发现除了通过这些漏洞传播传播之外,这个Mirai变体还具有以下几种针对常见凭证的暴力破解功能,如下图所示:

 

结论

这个新Mirai变种背后的攻击者可能只是简单地从其他攻击中复制了代码,并且加以利用。更加危险的是,许多用户尚未针对此前被利用的漏洞更新修复补丁。

 

消息来源: http://www.mottoin.com/detail/3985.html

售前支持

400-161-0866