新型物联网僵尸网络Persirai现身

趋势科技告警称大约12万台基于多家原始设备制造商产品的网络摄像头机型易受一种新型物联网僵尸网络Persirai的攻击。

Persirai针对1000多种互联网摄像头机型发起攻击，而多数用户并未意识到这一点。结果攻击者就能通过TCP端口81轻易访问设备的web接口。

由于互联网摄像头一般使用的是UPnP协议，设备能够打开路由器上的一个端口并起到服务器的作用，因此它们是物联网恶意软件非常容易发现的目标。通过访问这些设备易受攻击的接口，攻击者能够注入命令强制设备连接至某个站点，并下载执行恶意shell脚本。

Persirai在易受攻击的设备上执行后就会自删除并持续仅在内存中运行。另外它还会拦截自己使用的0day利用代码以阻止其他攻击者攻击同样的互联网摄像头。由于恶意代码在内存中运行，因此重启还会导致设备易受攻击。

受影响的互联网摄像头向多个C&C服务器汇报（load.gtpnet.ir、ntp.gtpnet.ir、185.62.189.232和95.85,38.103）。一旦从服务器中接收到命令，受感染设备就会自动开始利用一个公开的0day漏洞攻击其它互联网摄像头，攻击者能从用户那里获得密码文件并执行命令注入。Persirai僵尸网络能够通过UDP洪水发动DDoS攻击并且在不欺骗IP地址的情况下通过SSDP包发动攻击。

安全研究人员设法将僵尸网络跟使用.ir国家代码的C&C服务器联系在一起。这个代码是由一家伊朗研究机构管理的而且只能由伊朗人使用。此外，这款恶意软件的代码包含一些特别的波斯字符。

Persirai似乎构建于Mirai源代码基础之上，后者披露于去年的10月份。Persirai还会针对安装了最新固件版本的设备，并且无法通过使用强密码得到延缓，因为它会利用一个窃取密码的漏洞。因此，互联网摄像头所有人应当执行其它安全措施来保护设备安全。

安全研究人员指出，“物联网安全的责任不应当仅依靠用户，厂商本身也应当负责，因为后者应当确保设备是安全的且不断更新。因此，用户应当确保设备安装了最新固件以将漏洞利用的几率最小化。”

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。