Akamai的研究人员发现了一个基于Mirai的僵尸网络,它利用DigiEver DS-2105 Pro NVR中的远程代码执行漏洞。专家指出,这种Mirai变种已被修改为使用改进的加密算法,包括ChaCha20和XOR解密算法。
该僵尸网络,Akamai将其命名为“Hail Cock Botnet”,至少从2024年9月开始活跃。它利用一个未公开的远程代码执行漏洞(影响DigiEver DS-2105 Pro DVR和其他设备,例如通过CVE-2023-1389受影响的TP-Link设备以及受CVE-2018-17532影响的Teltonika RUT9XX路由器),通过/cgi-bin/cgi_main.cgi URI发起攻击。恶意代码通过ntp参数注入命令,允许攻击者通过80端口上的HTTP POST请求下载基于Mirai的恶意软件,并在HTTP Referer标头中引用“IP地址:80/cfg_system_time.htm”。
该恶意软件使用cron作业来保持持久性,该作业从“hailcocks[.]ru”下载shell脚本(wget.sh)。它连接到各种主机进行Telnet/SSH暴力破解,并使用与“kingstonwikkerink[.]dyn”链接的单个IP进行C2通信。受感染的主机在执行过程中会显示独特的字符串,旧版本显示“you are now apart of hail cock botnet”,新版本显示“I just wanna look after my cats, man.”。
Akamai报告指出,攻击者利用过时固件或已淘汰硬件来入侵新主机是最简单的方法之一。DigiEver DS-2105 Pro就是一个例子,因为它已经使用了大约10年。硬件制造商并不总是为已淘汰的设备发布补丁,制造商本身有时也可能已经倒闭。因此,如果无法获得安全补丁,建议将易受攻击的设备升级到较新的型号。报告还包含与这些攻击相关的入侵指标(IOC)以及用于检测威胁的Yara规则。
原文始发于微信公众号(黑猫安全):一种新的Mirai僵尸网络变种瞄准了DigiEver DS-2105 Pro DVR
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论