欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

新Mirai变种利用多种漏洞,IoT设备恐陷入危机

 

趋势科技的研究人员近日发现了Mirai僵尸网络的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),它使用了总共13种不同的漏洞,几乎所有漏洞都在以前的Mirai相关攻击中使用过。

此次发现的是另一种典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这却是第一个发现如此多漏洞同时利用的案例。


据悉,新Mirai攻击活动发生在趋势科技上次报道 Mirai活动后的几周,当时它针对的是各种路由器。而目前这一变体也使用了先前攻击中利用的一些漏洞。

1.新Mirai变种

研究人员对新变种的初步发现得益于其设置的一个蜜罐,致力于检测与物联网(IoT)相关的攻击。检测结果显示这种恶意软件使用了不同的传播方式,并且还揭示了它使用三个XOR密钥来加密数据。使用XOR解密恶意软件的字符串揭示了此恶意软件的第一个相关指标之一为Mirai变体。解密的字符串可以在下图中看到:


  • 0x22(标准Mirai字符串)

  • 0x37(带“watchdog”的字符串)

  • 0xea(暴力攻击的凭证:“telecomadmin”,“admintelecom”等)

显示Mirai连接的解密字符串


研究人员还发现了此变体使用的不同URL。下面列表中的第一个URL用作命令和控制(C&C)链接,其余用作下载和安装链接。在下载和安装链接中,值得注意的是使用了hopTo,这是一个免费的动态DNS(域名服务器)提供程序。


  • hxxp://32[.]235[.]102[.]123:1337

  • hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7

  • hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips

  • hxxp://ililililililililil[.]hopto[.]org/love.sh


通过查看新变种的代码,揭示了有关它如何传播的更多细节,特别是它利用了13种不同的漏洞。前三个漏洞是针对Web开发格式ThinkPHP以及某些华为和Linksys路由器中发现的易损扫描程序。

Mirai变种代码中显示的3个扫描仪功能


可以在exploit_worker()中找到此攻击中使用的其余10个漏洞的扫描程序,如下图所示:

Mirai变种代码显示的剩余10个漏洞


研究人员发现除了通过这些漏洞传播传播之外,这个Mirai变体还具有以下几种针对常见凭证的暴力破解功能,如下图所示:

9999.jpg


暂无

您可能还会对下面的文章感兴趣: