Mirai恶意软件新变种感染Linux设备,以期构建DDoS僵尸网络

Bleeping Computer 网站披露,一个被追踪为“V3G4”的 Mirai 恶意软件新变种异常活跃,正在利用基于 Linux 服务器和物联网设备中的 13 个漏洞,展开 DDoS(分布式拒绝服务)攻击。

据悉,Mirai 恶意软件主要通过暴力破解 telnet/SSH 凭证或利用硬编码缺陷,在目标设备上执行远程代码进行传播,一旦攻破目标设备防御系统,立刻感染设备并将其招募到自身僵尸网络中。

2022 年 7 月至 2022 年 12 月,Palo Alto Networks(Unit 42)研究员在三个不同网络攻击活动中发现了“V3G4”恶意软件。经详细分析,研究员发现硬编码的 C2 域包含相同字符串,shell 脚本也类似,并且所有攻击中使用的僵尸网络客户端具有相同功能,基于此,Unit 42 推测这三个攻击都来自同一网络犯罪分子。

此外,安全研究员指出“V3G4”的攻击活动从利用以下 13 个漏洞开始:

  • CVE-2012-4869: FreePBX Elastix remote command execution
  • Gitorious remote command execution
  • CVE-2014-9727: FRITZ!Box Webcam remote command execution
  • Mitel AWC remote command execution
  • CVE-2017-5173: Geutebruck IP Cameras remote command execution
  • CVE-2019-15107: Webmin command injection
  • Spree Commerce arbitrary command execution
  • FLIR Thermal Camera remote command execution
  • CVE-2020-8515: DrayTek Vigor remote command execution
  • CVE-2020-15415: DrayTek Vigor remote command execution
  • CVE-2022-36267: Airspan AirSpot remote command execution
  • CVE-2022-26134: Atlassian Confluence remote command execution
  • CVE-2022-4257: C-Data Web Management System command injection

V3G4 利用的安全漏洞

一旦成功入侵目标设备,基于 Mirai 恶意软件的有效载荷便立即投放到系统中,并开始尝试连接硬编码的C2 地址。此外,“V3G4 ”还试图终止硬编码列表中其它竞争性僵尸网络恶意软件家族的感染进程。 

试图停止“竞争者”进程

值得注意的是,不同于其它大多数 Mirai 恶意软件变种仅仅使用一个 OXR 加密密钥,“V3G4”使用四个不同的 XOR 加密密钥,这样使得对恶意软件代码的逆向工程和对其功能解码更具挑战性。

当“V3G4”传播到其它目标设备时,DDoS 僵尸网络使用 telnet/SSH 暴力程序,试图使用默认或弱凭据进行连接。最后,被攻击设备直接从 C2 发出包括 TCP、UDP、SYN 和 HTTP 泛滥方法等在内的 DDoS 命令。

DDoS 命令

安全研究人员指出,新变种“V3G4”很可能向希望对特定网站或在线服务发动网络攻击的客户出售 DDoS 服务。

值得一提的是,虽然目前没有迹象表明变体“V3G4”与某个网络攻击服务联系起来,但为了更好的确保设备免受类似 Mirai 恶意软件感染,用户应及时改变默认密码并安装安全更新。

当前名称:Mirai恶意软件新变种感染Linux设备,以期构建DDoS僵尸网络
当前URL:http://www.shufengxianlan.com/qtweb/news33/468083.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联