殭屍網絡Mirai新變種來襲企業成新目標
臭名昭著的IoT/Linux殭屍網絡Mirai出現新變種,殺傷力更強。安全團隊Unit 42近日發布報告披露了Mirai的新變種病毒,研究者在樣本中發現了該病毒的27種漏洞利用方式,其中11種是Mirai中沒遇到過的。
Mirai 是去年肆虐的殭屍網絡病毒,其通過感染存在漏洞的IoT 設備,並下載Telnet 掃描其它潛在Mirai 殭屍宿主機,將其感染,連結成網,在需要時對目標系統發起攻擊。Mirai 先後進行DDoS 導致了美國的、德國大斷網,並針對全球最大動態DNS 提供商DYN 與網絡託管服務提供商OVH 等進行攻擊,帶來了極其惡劣的影響。
同時Mirai 作者將其源碼公佈,這使得更多人可以更加方便地對該病毒進行變種創作,此次發現的新變種正是其中之一。
Unit 42安全人員指出,此次新變種針對不同嵌入式設備,如路由器、網絡存儲設備與網絡攝像機等,利用這些設備存在的漏洞進行大面積攻擊。報告中特別指出,該變種殭屍網絡會針對WePresent WiPG-1000無線演示系統和LG Supersign電視,這兩款設備都是企業級產品,並且它們存在的漏洞早在去年就公開了。
報告認為這表明該變種有將Mirai 攻擊從公共基礎設施轉向企業目標的趨勢。
研究人員表示目前該變種殭屍網絡還在通過不斷感染更多設備,並添加更多用於對設備進行暴力破解的密碼擴大其攻擊面,而利用企業應用漏洞使得攻擊具有更大的網絡帶寬,DDoS能力大大提高。
此外,該變種還有其它特性,比如它使用與Mirai 特徵相同的加密方案,表密鑰為0xbeafdead;它使用域epicrustserver[.]cf 在端口3933 進行C2 通信;除了掃描其它易受感染的設備,它還可以進行HTTP Flood DDoS 攻擊。
報告中還提到了一個具有諷刺意味的案例,該變種病毒的shell 腳本攻擊負載植入在一個用於“電子安全、集成和報警監控”業務的網站上。
那麼,如此瘋狂的殭屍網絡衝著企業而來,企業可以怎麼辦呢?
- 了解網絡上的IoT 設備、更換默認密碼,確保設備更新補丁
- 無法修補的設備直接從網絡中去掉