據(jù) Palo Alto Network 的 Unit 42 網(wǎng)絡(luò)安全團隊的研究人員稱，  Mirai 的一個新變體——用于發(fā)起大規(guī)模DDoS攻擊的僵尸網(wǎng)絡(luò)惡意軟件——一直在瞄準(zhǔn)連接到 Linux 服務(wù)器的物聯(lián)網(wǎng)設(shè)備中的 13 個漏洞。

一旦易受攻擊的設(shè)備被稱為 V3G4 的變體破壞，它們就可以完全被攻擊者控制并成為僵尸網(wǎng)絡(luò)的一部分，能夠用于進行進一步的活動，包括 DDoS 攻擊。 

Unit 42 在其關(guān)于新變體的報告中表示：“這些漏洞的攻擊復(fù)雜性低于之前觀察到的變體，但它們?nèi)匀痪哂袊?yán)重的安全影響，可能導(dǎo)致遠程代碼執(zhí)行?！?/p>

[通過頂級安全認(rèn)證提升您的職業(yè)生涯：它們的用途、成本以及您的需求。| 注冊 CSO 時事通訊。]

Unit 42 表示，去年 7 月至 12 月期間，在三個活動中觀察到 V3G4 活動。 

Lenovo Lnit2 E3-automation 全片 Conform-3 Hq Mp4 1280x720p

25分0秒，14秒成交量0%

據(jù)研究人員稱，出于多種原因，所有這三個活動似乎都與同一個變體和 Mirai 僵尸網(wǎng)絡(luò)相關(guān)聯(lián)。他們指出，具有硬編碼命令和控制 (C2) 基礎(chǔ)設(shè)施（用于維持與受感染設(shè)備的通信）的域包含相同的字符串格式。此外，shell腳本下載方式相似，所有攻擊使用的僵尸網(wǎng)絡(luò)功能相同。

Code 42 表示，部署 V3G4 的威脅參與者利用了可能導(dǎo)致遠程代碼執(zhí)行的漏洞。一旦執(zhí)行，該惡意軟件具有檢查主機設(shè)備是否已被感染的功能。如果它已經(jīng)被感染，它將退出設(shè)備。它還會嘗試從硬編碼列表中禁用一組進程，其中包括其他競爭性僵尸網(wǎng)絡(luò)惡意軟件系列。

V2G4 Mirai 變體如何工作

研究人員指出，雖然大多數(shù) Mirai 變體使用相同的密鑰進行字符串加密，但 V3G4 變體針對不同的場景使用不同的 XOR 加密密鑰（XOR 是加密中經(jīng)常使用的布爾邏輯運算）。V3G4 打包了一組默認(rèn)或弱登錄憑據(jù)，用于通過 Telnet 和 SSH 網(wǎng)絡(luò)協(xié)議執(zhí)行暴力攻擊，并傳播到其他機器。Unit 42表示，在此之后，它會與C2服務(wù)器建立聯(lián)系，并等待接收對目標(biāo)發(fā)起DDoS攻擊的命令。 

V3G4 已利用漏洞，包括 Asterisk 通信服務(wù)器的 FreePBX 管理工具中的漏洞（漏洞CVE-2012-4869）；Atlassian Confluence ( CVE-2022-26134 )；Webmin 系統(tǒng)管理工具 ( CVE-2019-15107 )；DrayTek Vigor 路由器（CVE-2020-8515：和CVE-2020-15415）；和 C-Data Web 管理系統(tǒng) ( CVE-2022-4257 )。

有關(guān)迄今為止觀察到的被利用漏洞的完整列表、可檢測和預(yù)防感染的網(wǎng)絡(luò)安全軟件的建議，以及用作危害指示的代碼片段，請參閱 Palo Alto 的公告。Unit 42 團隊還建議盡可能應(yīng)用補丁和更新來修復(fù)漏洞。

Mirai 僵尸網(wǎng)絡(luò)是如何發(fā)展起來的

在過去的幾年里，Mirai 試圖將觸角伸向 SD-WAN，瞄準(zhǔn)企業(yè)視頻會議系統(tǒng)，并利用 Aboriginal Linux 感染多個平臺。

Mirai 僵尸網(wǎng)絡(luò) 是羅格斯大學(xué)本科生 Paras Jha 開發(fā)的一系列惡意軟件包的迭代。Jha 以“Anna-Senpai”的名義將其發(fā)布在網(wǎng)上，并將其命名為 Mirai（日語中的“未來”）。僵尸網(wǎng)絡(luò)封裝了一些巧妙的技術(shù)，包括一系列硬編碼密碼。 

2016 年 12 月，Jha 及其同伙 對與 Mirai 攻擊有關(guān)的罪行供認(rèn)不諱 。但到那時，代碼已經(jīng)在野外，并被用作進一步僵尸網(wǎng)絡(luò)控制器的構(gòu)建塊。 

這意味著任何人都可以使用它來嘗試感染物聯(lián)網(wǎng)設(shè)備并發(fā)起 DDoS 攻擊，或者將這種能力賣給出價最高的人。許多網(wǎng)絡(luò)犯罪分子已經(jīng)這樣做了，或者正在調(diào)整和改進代碼以使其更難打擊。

Mirai 的第一波攻擊大潮出現(xiàn)在 2016 年 9 月 19 日，針對的是 法國主機 OVH。Mirai 還對 2016 年針對 DNS 提供商 Dyn 的 DDoS 攻擊負責(zé)，該攻擊涉及大約 100,000 臺受感染的設(shè)備。結(jié)果，歐洲和北美的用戶無法使用主要的互聯(lián)網(wǎng)平臺和服務(wù)。