近兩年,全球發(fā)生了幾起著名的DDoS攻擊事件����,法國托管服務公司OVH遭遇了前所未有的大型DDoS攻擊,美國東海岸出現(xiàn)了大面積互聯(lián)網斷網事件��,德國電信遭遇一次大范圍的網絡故障��。隨著研究人員對事件的深入調查分析���,幕后黑手Mirai惡意軟件浮出水面�����,因Mirai源碼曝光�,吸引了更多的黑客關注Mirai,隨后Mirai變種不斷增加�。本次截獲的Mirai最新變種,亞信安全將其命名為Backdoor.Linux.MIRAI.VWIPI��。
Mirai變種技術細節(jié)分析
最新Mirai變種利用了27個漏洞���,除了包含之前版本的針對嵌入式設備(如IP攝像機��,網絡存儲設備和路由器)的漏洞�����,還包括11個專門針對WePresent WiPG-1000無線演示系統(tǒng)和LG Supersign電視的漏洞����。
與之前的版本類似�,最新的Mirai變種能夠掃描暴露的Telnet端口,并使用受感染設備的默認訪問憑據(jù)�。它還能夠掃描特定設備及沒有打補丁的系統(tǒng),并使用其列表中的漏洞進行攻擊����。其使用3933端口從命令和控制(C&C)服務器接收命令,例如HTTP Flood DDoS攻擊��。
該變種新增加的11個漏洞����,列表如下:
· CVE-2018-17173
· WePresentCmdInjection
· DLinkRCE
· ZyxelP660HN_RCE
· CVE-2016-1555
· NetgearDGN2200_RCE
· NetgearProsafeRCE
· NetgearReadyNAS_RCE
· LinksysWAP54Gv3_RCE
· CVE-2013-3568
· ZTEH108L_RCE
之前的攻擊活動中,還利用過如下漏洞:
· CVE-2017-6884
· GPON Exploits
· AVTechRCE
· JAWS RCE
· DLinkOSInjection
· DLinkcommandphpRCE
· DLinkDSL2750BOSCmdInjection
· VacronNVRRCE
· Netgain ‘ping’ Command Injection
· EnGeniusRCE
· Linksys RCE
· Netgear cgi-bin RCE
亞信安全教你如何防范
打全物聯(lián)網設備相關補丁程序����;
更改物聯(lián)網設備默認密碼,設置復雜密碼�。
亞信安全產品解決方案
亞信安全病毒碼版本14.893.60,云病毒碼版本14.893.71�����,全球碼版本14.895.00已經可以檢測�����,請用戶及時升級病毒碼版本�����。
亞信安全深度發(fā)現(xiàn)設備TDA 針對上述漏洞檢測規(guī)則如下:
· 2539 AVTECH Authentication ByPass Exploit- HTTP (Request)
· 2713 AVTECH Command Injection Exploit – HTTP (Request)
· 2499 CVE-2016-10174 – NETGEAR Remote Code Execution – HTTP (Request)
· 2755 CVE-2017-6884 Zyxel OS Command Injection Exploit – HTTP (Request)
· 2639 CVE-2018-10562 – GPON Remote Code Execution – HTTP (Request)
· 2544 JAWS Remote Code Execution Exploit – HTTP (Request)
· 2550 DLINK Command Injection Exploit – HTTP (Request)
· 2707 DLINK Command Injection Exploit – HTTP (Request) – Variant 2
· 2754 EnGenius EnShare Remote Code Execution Exploit – HTTP (Request)
· 2692 LINKSYS Unauthenticated Remote Code Execution Exploit – HTTP (Request)
· 2548 LINKSYS Remote Code Execution – HTTP (Request)
· 2452 Wget Commandline Injection
· 2536 Netgear ReadyNAS RCE Exploit – HTTP (Request)
· 2778 ZTE ZXV10 Remote Code Execution Exploit – HTTP (Request)
· 2806 CVE-2016-1555 – Netgear Devices – Unauthenticated Remote Code Execution –
· HTTP (Request)
近年來,利用物聯(lián)網設備的漏洞攻擊案例時常發(fā)生��,從視頻監(jiān)控設備�、路由器到智能家居,直到近期的企業(yè)智能設備攻擊���,犯罪分子逐漸將目標轉移到企業(yè)����,使企業(yè)面臨極其嚴重的安全風險�。亞信安全提醒用戶注意防范物聯(lián)網病毒攻擊,打全物聯(lián)網設備相關補丁程序����,更改物聯(lián)網設備默認密碼,設置復雜密碼�����。
