预警!僵尸网络病毒Mirai新变种来袭
Mirai病毒家族曾经感染数以万计的IoT设备,构造了庞大的僵尸网络。Mirai病毒制造者曾在2016年利用这一物联网僵尸网络,制造了攻击流量峰值达到1Tbps的DDoS攻击,导致OVH、Dyn以及Krebs on Security等主流站点出现暂时瘫痪现象。从2016年Mirai源码被公开后,病毒变种频繁,据统计,Mirai病毒家族目前已占物联网病毒感染总数的20.9%。
病毒概述
天融信EDR安全团队近期监测并捕获到Mirai病毒的新变种,该病毒增加了11种扫描与攻击方式,影响设备类型包括WePresent WiPG-1000无线演示系统和LG Supersign电视的最新版本,同时也会感染Linux服务器。
天融信EDR可精确检测并查杀该变种病毒针对Linux的攻击,有效预防该病毒蔓延。
病毒分析
截止本文撰写时,在VirusTotal上可检出该变种的病毒引擎不足20家。
Mirai最新变种除了延续原有的telnet、ssh的弱口令扫描攻击外,还更新了针对不同IoT设备的攻击与扫描方式,几乎影响了所有主流的IoT设备品牌,主要利用的IoT设备漏洞如下:
CVE-2018-17173 (LG Supersign CMS )
CVE-2017-17215(华为HG532 )
CVE-2016-1555 (Netgear部分型号)
CVE-2016-6563(D-Link部分型号)
CVE-2014-8361(Realtek,D-Link等品牌部分型号)
CVE-2013-3568(linksys部分型号)
WePresent命令行注入
DLink 远程代码执行
ZyxelP660HN 远程代码执行
NetgearDGN2200远程代码执行
NetgearProsafe 远程代码执行
NetgearReadyNAS 远程代码执行
LinksysWAP54Gv3远程代码执行
中兴ZTEH108L 远程代码执行
Mirai针对华为家用路由器的注入攻击
Mirai针对IoT各类异构的硬件平台分别编译了不同的被控端程序,目前Mirai支持的CPU架构包括:ARC、ARM、x86、MIPS、PowerPC、Sparc、SuperH等。
另外,本次Mirai病毒变种受控端更新了HTTP Flood攻击算法, Mirai的控制者可能会利用IoT僵尸网络发起针对HTTP的DDoS攻击。
防御措施
1、禁止向互联网开放IoT管理权限,同时增强IoT设备管理员口令复杂度;
2、加强IoT物联网安全防护建设,部署入侵防御系统阻止网络攻击,部署流量清洗设备防范针对HTTP的DDoS攻击;
3、加强IoT设备漏洞管理,及时更新安装系统补丁,修复漏洞;
4、Mirai针对Linux服务器的感染,可安装天融信EDR,加强对Linux服务器的加固,避免病毒攻击。
热点推荐