山海科技发展网

07月25日使用多种漏洞发现Mirai Variant,目标是各种路由器

导读 摘要 趋势科技的研究人员发现了臭名昭著的Mirai恶意软件的新变种(被趋势科技检测为Trojan Linux MIRAI SMMR1),该变种使用多种攻...

摘要 趋势科技的研究人员发现了臭名昭著的Mirai恶意软件的新变种(被趋势科技检测为Trojan Linux MIRAI SMMR1),该变种使用多种攻击手段来

趋势科技的研究人员发现了臭名昭著的Mirai恶意软件的新变种(被趋势科技检测为Trojan.Linux.MIRAI.SMMR1),该变种使用多种攻击手段来针对各种路由器和物联网设备。 研究人员在用来监视与IoT相关的威胁的蜜罐中观察到了Mirai的这一版本。

在对另一种IoT恶意软件Bashlite进行研究时发现了Mirai变体,该Bashlite已更新以添加诸如部署加密货币挖矿和阻止恶意软件的功能。 与Bashlite相比,此Mirai变体不具备这些功能。 此外,尽管两种威胁都具有后门功能和分布式拒绝服务(DDoS)功能,但它们执行命令的方式却有所不同。

[阅读:家用路由器和缓解攻击可能会使它们变成僵尸] Mirai变体使用多种漏洞利用

图1在蜜罐日志中显示了攻击的感染媒介。 图2显示恶意软件作者将其命名为ECHOBOT。

图1.代码显示了基于蜜罐中的日志的攻击的感染媒介 图2. Mirai 变体的解密字符串

[相关新闻:Mirai僵尸网络新变种针对IoT电视,演示系统]

图3、4和5显示了Mirai变体对多个公开可用的概念证明(PoC)和Metasploit模块的使用。 这些攻击还针对各种路由器和设备: 针对D-Link设备中的漏洞(CVE-2014-8361)的通用即插即用(UPnP)简单对象访问协议(SOAP)TelnetD命令执行漏洞利用。 利用CVE-2013-4863和CVE-2016-6255,MiCasaVerde Veralite中的远程代码执行(RCE)漏洞; 该漏洞利用针对智能家居控制器。 CVE-2016-6255的缓解措施于2016年7月发布。 利用CVE-2014-8361,一个Miniigd UPnP SOAP命令执行漏洞; 该漏洞利用带有漏洞的Realtek软件开发套件(SDK)的设备为目标。 该漏洞已在2015年5月修复。 ZyXEL P660HN-T v1(通过ViewLog.asp remote_host)路由器中的特权提升安全漏洞。 达山的千兆级无源光网络(GPON)家用路由器中的身份验证绕过(CVE-2018-10561)和命令注入(CVE-2018-10562)漏洞。 趋势科技研究人员在2018年5月观察到的类似Mirai的扫描活动中也利用了这些漏洞。 华为路由器HG532中的任意命令执行漏洞(CVE-2017-17215)已于2018年2月修复。此安全漏洞也被其他IoT僵尸网络恶意软件Satori和Miori利用。 Linksys E系列路由器中的远程代码执行(RCE)漏洞也被TheMoon(最早的物联网僵尸网络恶意软件之一)利用。 ThinkPHP 5.0.23 / 5.1.31(一个开放源代码Web开发框架)的RCE漏洞。 趋势科技研究人员还观察到Hakai和Yowai僵尸网络恶意软件利用该漏洞破坏了Web服务器。

图3.嵌入Mirai变体的代码快照利用ZyXEL P660HN-T v1(顶部)和GPON路由器(底部)中的漏洞

[阅读:了解2017年最值得关注的家庭网络安全威胁]

图4。利用华为路由器HG532(顶部)和Linksys E系列路由器(底部)中的漏洞,在Mirai变体中嵌入的代码快照

[安全性101:保护Wi-Fi网络免受黑客攻击和窃听]

图5。利用Realtek SDK(顶部)以及ThinkPHP 5.0.23和5.1.31框架(底部)中的漏洞在Mirai变量中嵌入的代码快照 )

[阅读:路由器受到攻击:当前的安全漏洞以及如何修复它们]

除了使用多种漏洞利用外,此Mirai版本还保留了其后门和DDoS功能。 Mirai因其在攻击中的使用而声名狼藉,这些攻击使备受关注的网站断线并导致服务中断。 自从出现以来,它已成为广泛影响物联网设备的长期威胁,并且还会看到具有更多功能的持续更新。 例如,此Mirai变体还使用凭据-用于其字典攻击(使用预编程的用户名和密码)-在其他或更旧版本的Mirai中不存在: videoflow , huigu309 , CRAFTSPERSON , ALC#FGU 和 wbox123 。

[最佳做法:保护路由器免受Mirai和其他家庭网络攻击的侵害] 保护路由器和设备免受Mirai等威胁的侵害

Mirai不仅会对物联网设备及其中存储的数据的隐私和安全性造成不利影响。 它还可以控制受感染的设备,并使它们成为问题的一部分。 物联网设备制造商在保护这些设备的安全中扮演着重要角色,而用户和企业也应采取良好的安全措施来防御诸如Mirai之类的威胁,例如: 选择可以持续修补其产品的可靠制造商。 定期更新设备(例如路由器)的固件和软件以及用于访问设备的凭据。 加密和保护设备使用的连接。 配置路由器以使其更耐入侵。 禁用设备中的过时或不必要的组件,并通过受信任的来源仅使用合法的应用程序。 部署可提供额外安全性的工具,尤其是为家庭网络和与其连接的设备提供额外安全性的工具。

Trend Micro Smart Home Network™通过以下规则覆盖了本文中引用的许多漏洞: 1134286-WEB Realtek SDK Miniigd UPnP SOAP命令执行(CVE-2014-8361) 1134610-WEB釜山GPON路由器命令注入-1.1(CVE-2018-10561) 1134611-WEB釜山GPON路由器命令注入-1.2(CVE-2018-10561) 1134891-WEB釜山GPON路由器命令注入-1.3(CVE-2018-10561) 1134892-WEB釜山GPON路由器命令注入-1.4(CVE-2018-10561) 1134812-WEB GPON路由器命令注入(CVE-2018-10562) 1134287-WEB华为家庭网关SOAP命令执行(CVE-2017-17215)

妥协指标:

相关哈希(SHA-256)被检测为Trojan.Linux.MIRAI.SMMR1: f657400270b9e5d78b8395e9ac6c689311d8afd371982ef696d67d31758c1751

相关的恶意IP地址/ URL: hxxp:// 192 [。] 210 [。] 135 [。] 113 / ECHO / ECHOBOT [。] mips

Augusto Remillano II,Jakub Urbanec, Byron Galera和Mark Vicente 的分析和见解截至4月10日 ,东部时间2019年7月57日下午将规则纳入趋势科技智能家居网络解决方案中。 。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢