Mirai新变体针对13个已知的物联网设备漏洞

研究人员发现了一种名为 V3G4 的Mirai僵尸网络的新变种。

该恶意软件利用各种服务器和物联网设备中的 13 个漏洞，并使用暴力破解攻击在网络中进一步传播。

Mirai僵尸网络介绍

Mirai 僵尸网络是一种物联网恶意软件，网络犯罪分子可以利用该恶意软件危害超过 300,000 台设备。据报道，路由器、数字视频录像机和无线摄像头都属于受影响的设备。

它可以使运行Linux的计算系统成为被远程操控的“僵尸”，以达到通过僵尸网络进行大规模网络攻击的目的。

Mirai的主要感染对象是可访问网络的消费级电子设备，例如网络监控摄像机和家庭路由器等。

复杂的恶意软件扫描这些类型的设备并尝试使用默认密码连接到它们。连接后，它开始对众多网站、网络和服务器执行 DDoS 攻击。网络安全研究人员在发布了有关名为 Mirai Ptea 的新版 Mirai 僵尸网络的信息，该版本的灵感来自于 Mirai 僵尸网络。

网络犯罪分子利用该恶意软件利用设备中之前未发现的漏洞对 KGUARD DVR 执行分布式拒绝服务攻击。据中国安全组织 Netlab 360 称，在 2021 年 6 月 22 日发生大量僵尸网络活动之前，第一个漏洞发现于 2021 年 3 月 23 日。

亚洲、北美、南美、欧洲和一些非洲国家已检测到由该恶意软件引起的感染。在感染源方面，网络犯罪分子利用物联网设备利用韩国、巴西和美国的IP地址发起攻击。

此外，对 Mirai Ptea 恶意软件样本的分析表明，该恶意软件在将所有敏感资源信息发送到 C2 服务器之前对其进行了加密。解码后，在 C2 服务器和感染恶意软件的 PC 之间建立链接。正如您可能猜到的那样，通信检索过程会收到攻击指令，例如发起 DDoS 攻击。

Mirai构建的僵尸网络已经参与了几次影响广泛的大型分布式拒绝服务攻击（DDoS攻击），自 2016 年开始以来，一系列分布式拒绝服务 (DDoS) 攻击都归因于 Mirai 僵尸网络。

包括2016年9月20日针对计算机安全撰稿人布萊恩·克萊布斯个人网站的攻击、对法国网站托管商OVH的攻击，以及从2016年10月16日开始，欧洲和北美的Dyn DNS用户无法访问各种热门网站事件。

目前已经确认上述攻击全部由Mirai作者构建的僵尸网络发起的攻击。

Mirai的源代码已经以开源的形式发布至黑客论坛，其中的技术也已被其他一些恶意软件采用。

由于开源代码，从那时起已经开发了多个版本的 Mirai，Mirai Ptea 就是其中之一。

与最初的Mirai僵尸网络一样，V3G4 通过利用用户名和密码等默认数据登录凭据来感染物联网设备。

据 Palo Alto Networks 的 Unit 42 研究人员称，V3G4 主要针对 IP 摄像机、服务器和其他暴露在互联网上的物联网设备。

• 一旦遭到破坏，黑客就会利用这些设备作为其僵尸网络的一部分，并使用它们发起 DDoS 攻击或执行其他恶意活动。

  
  

• 攻击者可以通过网络传播以瞄准更多设备。为此，他们要么使用暴力攻击，要么针对其他漏洞进一步传播感染。

  
  

被利用的漏洞

如图所示

V3G4 变体针对流行企业产品中的 13 个已知漏洞。他们包括： 

• CVE-2012-4869 ：FreePBX Elastix 远程命令执行漏洞

  
  

• CVE-2014-9727 ：FRITZ!Box 网络摄像头远程命令执行漏洞

  
  

• CVE-2017-5173 ：Geutebruck IP 摄像机远程命令执行漏洞

  
  

• CVE-2019-15107 ：Webmin 命令注入漏洞

  
  

• CVE-2020-8515 ：DrayTek Vigor 远程命令执行漏洞

  
  

• CVE-2020-15415 ：DrayTek Vigor 远程命令注入漏洞

  
  

• CVE-2022-36267 ：Airspan AirSpot 远程命令执行漏洞

  
  

• CVE-2022-26134 ：Atlassian Confluence 远程代码执行漏洞

  
  

• CVE-2022-4257 ：C-Data Web 管理系统命令注入漏洞

  
  

• Mitel AWC 远程命令执行漏洞

  
  

• Gitorious 远程命令执行漏洞

  
  

• Spree Commerce任意命令执行漏洞

  
  

• FLIR 热像仪远程命令执行漏洞

  
  

有关V3G4操作的更多信息

成功利用后，恶意软件会执行wget 和 curl 实用程序来下载和执行 Mirai bot 客户端。 

• 僵尸网络客户端带有一个进程列表（停止列表），其中包含其他僵尸网络恶意软件家族的名称和 Mirai 的先前变体。此外，它会终止受感染设备的所有进程。

  
  

• 它会初始化一个 telnet/SSH 登录凭据表，然后尝试通过暴力破解网络设备在网络中进一步传播。

  
  

安全建议

为了保护您的物联网设备免受 V3G4 和其他僵尸网络恶意软件的侵害，建议遵循最佳实践，例如保持软件和固件更新、使用强密码以及禁用未使用的服务和协议。

此外，网络分段可以帮助遏制恶意软件，防止感染的广泛影响。

V3G4 恶意软件分析

全文链接

https://unit42.paloaltonetworks.com/mirai-variant-v3g4/

原文始发于微信公众号（网络研究院）：Mirai新变体针对13个已知的物联网设备漏洞