Mirai、Gafgyt僵尸网络携手回归,触手伸向企业部门

Mirai、Gafgyt僵尸网络携手回归,触手伸向企业部门

Mirai和Gafgyt是两个臭名昭著的物联网僵尸网络。近期它们摇身一变,出现了新的变种,将攻击目标瞄准了企业部门。此举意味着它们将扩大分布式拒绝服务攻击的范围。

几年前,这两款恶意僵尸软件的代码都已被公开,于是野心勃勃的网络犯罪分子开始致力于将其改造,并衍生出新的版本。大多数情况下,这些衍生版本并没有什么特别之处,但最新的衍生版本显示出对商业设备的“偏爱”。

网络安全公司Palo Alto Networks的一份报告(第42单元)显示,新的Mirai和Gafgyt在原有基础上增加了利用一些旧漏洞的漏洞利用代码库。

新版本的Mirai利用了与Equifax漏洞相关的Apache Struts系统,而Gafgyt则瞄准了SonicWall中的一个旧漏洞。

Mirai目前的攻击目标是运行未修补的Apache Struts的系统,这个版本在去年的Equifax 漏洞事件中遭到了攻击。CVE-2017-5638已经被修复一年多了,但除非它被彻底根除,否则网络犯罪分子将一直攻击此漏洞进行攻击。

Mirai已记录的漏洞利用数量现已达到16个,其中大部分都是为了破坏路由器,NVR,摄像机和DVR等连接设备。

Mirai、Gafgyt僵尸网络携手回归,触手伸向企业部门

Gafgyt,也被称为Baslite,则是借由一个旧漏洞(CVE-2018-9866,严重度极高)来查看商业设备,该漏洞来自于SonicWall全球管理系统(GMS)的一个不受支持的版本。

Mirai、Gafgyt僵尸网络携手回归,触手伸向企业部门

就在针对此漏洞发布名为Metasploit的安全监测工具后不到一周,报告(第42单元)在8月5日发现了新的案例。

受Gafgyt感染的设备可以扫描设备并进行适时的攻击。该恶意软件的另一个命令是发起Blacknurse攻击,这是一种影响CPU负载的低带宽ICMP攻击,使设备强制拒绝服务。

两个新变种背后的攻击者相同

如果新的Mirai和Gafgy所针对的系统类型只是暗示了幕后攻击者为同一人,那么安全研究人员发现的证据就更能佐证这一点了:两件案例的IP地址都托管在同一个域名中。然而研究人员无法说明为什么攻击者选择利用两个僵尸网络而不是一个僵尸网络。

今年8月,该域名解析出了间歇性地托管Gafgyt利用SonicWall漏洞的不同IP地址。

Palo Alto 最后表示:“这些物联网/ Linux僵尸网络针对Apache Struts和SonicWall的漏洞进行攻击,这一系列案例可能意味着僵尸网络已经将攻击目标从消费者设备转移为企业的商业设备。”

企业防范建议

既然犯罪分子的攻击目标已经昭然若揭,那么企业就需未雨绸缪,阻止自己的物联网设备成为僵尸网络的一部分,我们提出了以下建议,包括:

在准备启用物联网设备时务必修改默认密码;

确保设备固件保持更新并处于最新版本状态;

对于需要远程访问的设备(如网络摄像头)或者系统,请使用虚拟专用网络(VPN);

最后,禁用不必要的服务(例如Telnet),并关闭物联网设备不需要的端口。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/sole/view/113512.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code