網絡安全專家披露了有關一個新發現的受Mirai啟發的殭屍網絡”mirai_ptea”的細節。它利用了KGUARD提供的數字錄像機(DVR)中一個未公開的缺陷,傳播並執行分佈式拒絕服務(DDoS)攻擊。中國安全公司360在2021年3月23日對缺陷進行了首次調查,然後在2021年6月22日檢測到積極的殭屍網絡企圖。
自2016年Mirai殭屍網絡出現以來,它已經與一系列大規模的DDoS攻擊有關。
2016年10月,歐洲和北美的DNS服務提供商Dyn的用戶失去了對主要互聯網平台和服務的訪問。從那時起,Mirai的眾多版本湧現,部分原因是源代碼在互聯網上可以獲得,Mirai_ptea也不例外。
據研究人員稱,Mirai殭屍網絡是一個新型的基於物聯網(IoT)設備的惡意軟件,它入侵了30萬個物聯網設備,如無線攝像頭、路由器和數字錄像機。它掃描物聯網設備並使用默認密碼,然後將密碼添加到殭屍網絡中,然後用來對網站和互聯網基礎設施發動DDoS攻擊。
網絡安全研究人員沒有透露有關安全漏洞的全部細節,以防止進一步的利用,但研究人員說,KGUARD DVR固件在2017年之前有脆弱的代碼,可以在沒有認證的情況下遠程執行系統命令。至少有大約3000台在線發布的設備容易受到這個漏洞的影響。
除了使用Proxy與命令和控制(C2)服務器連接外,對mirai_ptea樣本的分析還披露了對所有敏感資源信息的廣泛加密。它被解碼以建立與C2服務器的連接,並檢索攻擊命令以執行,包括發起DDoS攻擊。
“殭屍源IP的地理分佈[……]主要集中在美國、韓國和巴西,”研究人員說,據報告,感染者遍布歐洲、亞洲、澳大利亞、北美和南美,以及非洲部分地區。
2017年,新澤西州范伍德的21歲的帕拉斯·賈、賓夕法尼亞州華盛頓的20歲的約西亞-懷特和路易斯安那州梅泰里的21歲的道爾頓-諾曼因創建Mirai物聯網殭屍網絡而被起訴。這三人承認共謀違反了《計算機欺詐和濫用法》。
閱讀中文報告全文:
https://blog.netlab.360.com/mirai_ptea-botnet-is-exploiting-undisclosed-kguard-dvr-vulnerability/