研究人员在针对企业通常使用的智能标牌电视和无线演示系统的野外发现了Mirai的新变种。 分析表明,该变体使用了新旧利用漏洞,和 该僵尸网络背后的网络分子还扩展了其内置的凭据列表,以暴力破解使用默认密码的物联网(IoT)设备和网络的互联网。
[阅读:Mirai附带了Miori:通过ThinkPHP远程代码执行漏洞提供的IoT僵尸网络]
新恶意软件变种(由趋势科技检测为Backdoor.Linux.MIRAI.VWIPI和Backdoor.Linux.BASHLITE.AME)已于2019年1月上旬从哥伦比亚一个受感染的网站中进行了检测,该网站专门针对安全和警报集成而设计,并不断扩大 根据帕洛阿尔托(Palo Alto)的报告,这可能对大小企业产生影响。 该Mirai变体使用的27种漏洞利用方法以前曾用于通过Apache Struts定位IP摄像机,网络存储设备和路由器等嵌入式设备,其中11种是恶意软件家族,并且专门针对WePresent WiPG-1000无线演示系统和LG Supersign电视。
与以前的活动很像,新的僵尸网络变种能够扫描暴露的Telnet端口,并使用受感染设备的默认访问凭据。 它还能够扫描特定的设备并修补未修补的系统,并使用其列表中的漏洞利用之一进行攻击和感染。 它使用端口3933接收来自命令和控制(C&C)服务器的命令,例如HTTP Flood DDoS攻击。
[阅读:保护路由器免受Mirai和其他家庭网络攻击的威胁]
Trend Micro还在1月发现了Mirai的最后一个变体Yowai,网络分子有望继续使用和开发Mirai,以利用市场上越来越多的IoT设备。 鉴于感染恶意软件的恶意软件会对业务系统造成更大且更具破坏性的影响,因此建议IoT设备用户立即更改其默认凭据,以使用此特定方法锁定不良行为者。 应该立即使用合法供应商发布的可用更新来修补系统,以消除可利用的漏洞。 趋势科技解决方案
趋势科技™Deep Discovery™ 2539 AVTECH身份验证绕过漏洞利用-HTTP(请求) 2713 AVTECH命令注入漏洞-HTTP(请求) 2499 CVE-2016-10174-NETGEAR远程执行代码-HTTP(请求) 2806 CVE-2016-1555-Netgear设备-未经身份验证的远程代码执行-HTTP(请求) 2755 CVE-2017-6884 Zyxel OS命令注入漏洞-HTTP(请求) 2639 CVE-2018-10562-GPON远程执行代码-HTTP(请求) 2544 JAWS远程代码执行漏洞-HTTP(请求) 2550 DLINK命令注入漏洞-HTTP(请求) 2707 DLINK命令注入漏洞-HTTP(请求)-变体2 2754 EnGenius EnShare远程代码执行漏洞-HTTP(请求) 2692 LINKSYS未经身份验证的远程代码执行漏洞-HTTP(请求) 2548 LINKSYS远程执行代码-HTTP(请求) 2452 Wget命令行注入 2536 Netgear ReadyNAS RCE漏洞-HTTP(请求) 2778 ZTE ZXV10远程执行代码漏洞-HTTP(请求)
趋势科技微型智能家居网络™ 1057404 WEB D-Link DIR-645,DIR-815 diagnostic.php命令执行(BID-58938) 1132318 WEB D-Link DCS-930L身份验证的远程命令执行 1133374 WEB Zyxel P660HN-T v1路由器未经身份验证的远程命令执行 1133375 WEB Zyxel P660HN-T v2路由器未经身份验证的远程命令执行 1133643 WEB WePresent WiPG-1000命令注入 1133802 WEB Netgear NETGEAR DGN2200 dnslookup 。 cgi 远程命令注入(CVE-2017-6334) 1135139WEB Netgear设备未经身份验证的远程命令执行(CVE-2016-1555) 1133148 MALWARE可疑IoT蠕虫TELNET活动-1 1133063 MALWARE MIRAI TELNET活动
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢