Hi!请登陆

新的 Mirai 恶意软件变体感染 Linux 设备以构建 DDoS 僵尸网络

2023-2-22 337 2/22

新的 Mirai 恶意软件变体感染 Linux 设备以构建 DDoS 僵尸网络

一种被追踪为“V3G4”的新 Mirai 僵尸网络变体针对基于 Linux 的服务器和物联网设备中的 13 个漏洞,用于 DDoS(分布式拒绝服务)攻击。

该恶意软件通过暴力破解弱的或默认的 telnet/SSH 凭据并利用硬编码缺陷在目标设备上执行远程代码执行来传播。一旦设备遭到破坏,恶意软件就会感染该设备并将其招募到僵尸网络群中。

Palo Alto Networks(第 42 单元)的研究人员在三个不同的活动中发现了该特定恶意软件,他们报告称在 2022 年 7 月至 2022 年 12 月期间监测了恶意活动。

Unit 42 认为所有这三波攻击都来自同一个威胁参与者,因为硬编码的 C2 域包含相同的字符串,shell 脚本下载相似,并且所有攻击中使用的僵尸网络客户端具有相同的功能。

V3G4 攻击从利用以下 13 个漏洞之一开始:

  • CVE-2012-4869:FreePBX Elastix 远程命令执行
  • Gitorious远程命令执行
  • CVE-2014-9727:FRITZ!Box 网络摄像头远程命令执行
  • Mitel AWC 远程命令执行
  • CVE-2017-5173:Geutebruck IP 摄像机远程命令执行
  • CVE-2019-15107:Webmin 命令注入
  • Spree Commerce 任意指令执行
  • FLIR 热像仪远程命令执行
  • CVE-2020-8515:DrayTek Vigor 远程命令执行
  • CVE-2020-15415:DrayTek Vigor 远程命令执行
  • CVE-2022-36267:Airspan AirSpot 远程命令执行
  • CVE-2022-26134:Atlassian Confluence 远程命令执行
  • CVE-2022-4257:C-Data Web 管理系统命令注入
新的 Mirai 恶意软件变体感染 Linux 设备以构建 DDoS 僵尸网络
V3G4 针对的漏洞 (第 42 单元)

在破坏目标设备后,基于 Mirai 的有效载荷被投放到系统上并尝试连接到硬编码的 C2 地址。

僵尸网络还尝试终止硬编码列表中的一组进程,其中包括其他竞争性僵尸网络恶意软件系列。

新的 Mirai 恶意软件变体感染 Linux 设备以构建 DDoS 僵尸网络
处理恶意软件的停止尝试 (第 42 单元)

V3G4 与大多数 Mirai 变体的区别在于它使用四个不同的 XOR 加密密钥而不是一个,这使得对恶意软件代码进行逆向工程和解码其功能更具挑战性。

当传播到其他设备时,僵尸网络使用 telnet/SSH 暴力破解程序尝试使用默认或弱凭据进行连接。Unit 42 注意到早期的恶意软件变体同时使用 telnet/SSH 暴力破解和漏洞利用来传播,而后来的样本没有使用扫描器。

最后,受感染的设备直接从 C2 发出 DDoS 命令,包括 TCP、UDP、SYN 和 HTTP 泛洪方法。

新的 Mirai 恶意软件变体感染 Linux 设备以构建 DDoS 僵尸网络
DDoS 命令(第 42 单元)

V3G4 可能会向想要对特定网站或在线服务造成服务中断的客户出售 DDoS 服务。

但是,此变体目前尚未绑定到特定服务。

一如既往,保护您的设备免受类似 Mirai 感染的最佳方法是更改​​默认密码并安装最新的安全更新。

Tag:

相关推荐