基于 Mirai 的 DDoS 惡意軟件僵尸網(wǎng)絡(luò) IZ1H9 近期又開始活躍了,為 D-Link�����、Zyxel��、TP-Link���、TOTOLINK 等 Linux 路由器“添加”了 13 個(gè)新有效載荷����。
IZ1H9 惡意軟件的利用率達(dá)到了歷史峰值�,針對(duì)易受攻擊設(shè)備的利用嘗試達(dá)到了數(shù)萬次。IZ1H9 在成功入侵受害者設(shè)備后���,便將其加入 DDoS 群��,然后對(duì)指定目標(biāo)發(fā)起 DDoS 攻擊����。
IZ1H9 瞄準(zhǔn)眾多攻擊目標(biāo)
眾所周知,DDoS 惡意軟件盯上的設(shè)備和漏洞越多����,就越有可能建立一個(gè)龐大而強(qiáng)大的僵尸網(wǎng)絡(luò),以此對(duì)目標(biāo)網(wǎng)站進(jìn)行大規(guī)模攻擊�����。就 IZ1H9 而言�����,F(xiàn)ortinet 報(bào)告稱它使用了以下多個(gè)漏洞��,時(shí)間跨度從 2015 年到 2023 年:
D-Link 設(shè)備: CVE-2015-1187��、CVE-2016-20017���、CVE-2020-25506��、CVE-2021-45382
Netis WF2419:CVE-2019-19356
Sunhillo SureLine(8.7.0.1.1 之前的版本): CVE-2021-36380
Geutebruck 產(chǎn)品: CVE-2021-33544���、CVE-2021-33548、CVE-2021-33549�、CVE-2021-33550、CVE-2021-33551�、CVE-2021-33552、CVE-2021-33553�、CVE-2021-33554
Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
Zyxel EMG3525/VMG1312(V5.50 之前): CVE 未指定,但針對(duì) Zyxel 裝置的 /bin/zhttpd/ 元件漏洞
TP-Link Archer AX21 (AX1800): CVE-2023-1389
Korenix JetWave 無線 AP: CVE-2023-23295
TOTOLINK 路由器 CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083
不僅如此���, IZ1H9 網(wǎng)絡(luò)攻擊活動(dòng)還針對(duì)與"/cgi-bin/login.cgi "路由相關(guān)的未指定 CVE�,這可能會(huì)影響 Prolink PRC2402M 路由器��。
攻擊鏈詳情分析
在成狗利用上述漏洞后��,IZ1H9 有效載荷就會(huì)被立刻注入到受害者目標(biāo)設(shè)備��,其中包含一條從指定 URL 獲取名為 "l.sh "的 shell 腳本下載器的命令���。腳本執(zhí)行后�,會(huì)刪除日志以隱藏惡意活動(dòng)��,接下來,它會(huì)獲取針對(duì)不同系統(tǒng)架構(gòu)定制的機(jī)器人客戶端�。
最后,腳本會(huì)修改設(shè)備的 iptables 規(guī)則����,以阻礙特定端口的連接,增加設(shè)備管理員從設(shè)備上刪除惡意軟件的難度���。
完成上述所有操作后��,IZ1H9 僵尸網(wǎng)絡(luò)就會(huì)與 C2(命令與控制)服務(wù)器建立通信�,并等待執(zhí)行命令�����。據(jù)悉����,支持的命令涉及要發(fā)起的 DDoS 攻擊類型,主要包括 UDP�����、UDP Plain、HTTP Flood 和 TCP SYN等�����。
IZ1H9 的數(shù)據(jù)部分包含用于暴力破解攻擊的硬編碼憑證���。以上這些攻擊可能有助于傳播到受害目標(biāo)的相鄰設(shè)備中�����,或?qū)]有有效利用的 IoT 進(jìn)行身份驗(yàn)證。
最后�����,網(wǎng)絡(luò)安全專家建議物聯(lián)網(wǎng)設(shè)備所有者使用強(qiáng)大的管理員用戶憑據(jù)��,并將其更新為最新可用的固件版本���,在可能的情況下�,盡量減少設(shè)備在公共互聯(lián)網(wǎng)上暴露的頻次��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
