回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 惡意軟體Mirai新變種 專門鎖定攻擊物聯網裝置
盛思公關 本新聞稿發佈於2019/07/21,由發布之企業承擔內容之立場與責任,與本站無關

Palo Alto Networks的威脅情報小組Unit 42最近發現惡意軟體Mirai有了新的演變及八種新型態,該惡意軟體主要目標是針對各種嵌入式、物聯網裝置的軟體漏洞為目標,以分散式阻斷服務攻擊(DDoS)和其自我複製方式為主,從2016年起成功入侵數個值得注意的目標。這些被鎖定的物聯網裝置包括無線投影系統、機上盒、SD-WAN甚至智慧家居遙控器。

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此 想在你的Blog上輪播產業動態按此
 


Palo Alto Networks的威脅情報小組Unit 42最近發現惡意軟體Mirai有了新的演變及八種新型態,該惡意軟體主要目標是針對各種嵌入式、物聯網裝置的軟體漏洞為目標,以分散式阻斷服務攻擊(DDoS)和其自我複製方式為主,從2016年起成功入侵數個值得注意的目標。這些被鎖定的物聯網裝置包括無線投影系統、機上盒、SD-WAN甚至智慧家居遙控器。

Mirai最初利用預設憑證來獲得進入裝置的權限。然而,自2017年底以來,Palo Alto Networks的威脅情報小組Unit 42觀察到該惡意軟體的家族樣本,專門針對物聯網裝置的軟體漏洞,在易受攻擊的設備上進行傳播和運行。

2018年起,Palo Alto Networks威脅情報小組Unit 42發現,在同一樣本中包含漏洞的變種活動持續增加,將不同類型的物聯網裝置活動資訊蒐集到相同一個殭屍網絡。那時起,還觀察到Mirai惡意軟體作者公開的在 ”exploit-db”上測試,試圖利用這些漏洞來增加殭屍網絡數量。這個最新的新變種似乎是同一趨勢的延續

八種新加入的型態
最新的變種共包含18種型態,其中八種是新加入的。以下列出在實際情況中第一次揭露而被利用的新漏洞,而附錄中的表1中有更多詳細資訊:
• CVE-2019-3929
• OpenDreamBox Remote Code Execution
• CVE-2018-6961
• CVE-2018-7841
• CVE-2018-11510
• Dell KACE Remote Code Execution
• CVE-2017-5174
• HooToo TripMate Remote Code Execution
新樣本中還含有4個過去Mirai變種利用漏洞的型態,包括:
• LG Supersign TVs
• WePresent WiPG-1000 Wireless Presentation Systems
• Belkin WeMo devices
• MiCasaVerde VeraLite Smart Home Controllers
這些新樣本還包括攻擊Oracle WebLogic Servers RCE的漏洞型態,被用於建構Linux和Windows殭屍網絡。
附錄的表3中列出過去被Mirai使用過的漏洞型態。

Mirai變種分析
該新變種除了上面提到的漏洞型態外,還有一些新的特徵:
• 用於字串表的加密密鑰是0xDFDAACFD,它基於原始Mirai源代碼中使用的標準加密方案(在toggle_obf函數中實現),相當於一個字節為XOR的0x54。
• 我們之前在研究中沒有遇到過幾種用於暴力破解的預設憑證(雖然我們無法確認這是他們第一次使用Mirai)。這些在附錄中的表2中列出,以及使用它們的設備,值得注意的是,所有這些憑證都可以在網路上找到。

基礎架構
樣本所在的開放目錄如圖1所示:

該變種的例子在不同版本的不同埠使用C2的兩個功能變數名稱,如下所述。

最新版本使用的C2兩個功能變數名稱為。
• akuma[.]pw :17
• akumaiotsolutions[.]pw:912
雖然這兩個網域目前沒有解析到任何IP位址,但通過在Shodan上搜尋,研究人員發現該位址的通訊埠17同時也被用作C2。下方螢幕截圖是來自Mirai C2伺服器的17通訊埠回應記錄表明C2代碼是如何寫入原始代碼的:

文件上傳時間:
• 26-May-2019 10:05
• 21-May-2019 16:34
• 21-May-2019 08:38
• 19-May-2019 06:05
從2019年5月21日08:38開始的簡易版本使用以下2個C2網域。 它們與其他樣本使用的網域相同(在之前或之後的日期上傳)但通訊埠不同。
• akuma[.]pw:1822
• akumaiotsolutions[.]pw:721
結論
新發現的變種是Linux惡意軟體作者設法擴大感染率所持續嘗試的結果。因此,更多數量的物聯網設備會形成更巨大的殭屍網絡,因而提供給分散式阻斷服務攻擊(DDoS)攻擊強大的能力。通過使用這些變種觀察到的結果,效率較高的漏洞,即感染更多數量的裝置會在未來的變種中被保留或重新使用,而效率較低的漏洞會被淘汰或被惡意軟體作者替換成其他漏洞。

- 新聞稿有效日期,至2019/08/21為止


聯絡人 :胡恣瑄
聯絡電話:02-7713-6610#636
電子郵件:tech2@shangs.com.tw

上一篇:2019 Ballistix 記憶體超頻大賽
下一篇:嫁給我吧!! 「求婚神器」替你發聲,貼近她的心

 
搜尋本站


最新科技評論

共享經濟:以人民的名義爭奪流量入口 - 2017/06/18

影音網站的未來(三) PGC孵化IP,直播更接近長尾 - 2016/10/16

影音網站的未來(二)短影音適合往社交和工具發展 - 2016/10/09

影音網站的未來(一)長尾效應與頭部效應無法兼顧 - 2016/10/02

大部分O2O 模式違反網際網路經濟特性 - 2015/02/08

融資是怎麼回事(下)什麼人能拿到投資 - 2015/01/04

融資是怎麼回事(中)讀懂投資人的唇語 - 2014/12/21

融資是怎麼回事(上)融資是迭代的過程 - 2014/12/14

奢品服務業O2O 興起,網際網路創業者的新機會 - 2014/07/20

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 

 

 




個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2008, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!