TMT观察网_独特视角观察TMT行业

區塊鏈安全咨詢公司 曲速未來 消息：Mirai和Gafgyt是兩個最著名的物聯網僵尸網絡，它們再次分叉，新的變種在企業部門偷看，用于創建或補充他們的分布式攻擊的拒絕服務資源。

Mirai活動正在增加：運營Mirai追蹤器的美國安全研究員Troy Mursch曾講過，Sora并不是唯一一個看到復蘇的人，并且Mirai攻擊的數量一直在穩步增加。

1.從今年到目前為止，已經從86,063個獨特的源IP中觀察到與Mirai類似簽名匹配的傳入流量。

2.峰值于6月開始。就有類似的觀察。

“即使設備重新啟動，它們也會再次成為新的目標，因為潛在的漏洞永遠不會被修補，”Mursch說，指出了對沒有安全補丁的過時設備的指責。

在此之前，Mirai將繼續困擾物聯網場景和整個互聯網。

幾年前，兩種惡意軟件的代碼都進入了公共空間，有抱負的網絡犯罪分子開始催生他們自己的版本。

大多數時候，這些突變并沒有什么有趣之處，但最新的替代品顯示出對商業設備的偏愛。

據有報告顯示，新的Mirai和Gafgyt增加了他們利用一些舊漏洞的漏洞利用代碼庫。

Mirai現在的目標是運行未修補的Apache Struts的系統，這個版本在去年的Equifax漏洞中遭到攻擊。（Equifax是美國最大的消費者信用報告和其他金融服務提供商之一，當時表示，它是攻擊的受害者，在那期間，攻擊者對超過1.43億客戶的細節進行了抨擊。）CVE-2017-5638已經修復了一年多，但除非它被徹底根除，否則網絡犯罪分子將有盡可能多的理由將它添加到他們的技巧庫中，因為有些設備可以使用它。

Mirai包中的漏洞利用數量現已達到16個。其中大部分都是為了破壞路由器，NVR，攝像機和DVR等連接設備。

Gafgyt，也稱為Baslite，通過在SonicWall的全球管理系統（GMS）的不受支持的版本中針對新發現的漏洞（CVE-2018-9866，具有完美的嚴重性評分）來查看業務設備。

在針對此漏洞發布Metasploit模塊后不到一周，第42單元在8月5日發現了新樣本。

感染Gafgyt的設備可以掃描其他成熟的設備，以便妥協并提供適當的利用。惡意軟件中存在的另一個命令是發起Blacknurse攻擊：一種影響CPU負載的低帶寬ICMP攻擊，能夠對眾所周知的防火墻進行拒絕服務。

兩個新變種背后的威脅演員相同

如果新Mirai和Gafgy所針對的系統類型只暗示同一個演員在他們后面，安全研究人員發現了證據：兩個樣本都托管在同一個域中。

8月，該域名解析為不同的IP地址，間歇性地托管了Gafgyt利用SonicWall錯誤的樣本。

Apache Struts利用多漏洞Mirai變種

在新變種中針對Apache Struts的攻擊找到了目標CVE-2017-5638，這是一個通過精心設計的Content-Type，Content-Disposition或Content-Length HTTP標頭的任意命令執行漏洞。其格式下圖所示，有效負載突出顯示。

圖4.CVE-2017-5638漏洞利用格式

SonicWall GMS利用Gafgyt變體

漏洞攻擊所針對的漏洞CVE-2018-9866源于缺乏對set_time_config方法的XML-RPC請求的清理。如下圖顯示了示例中使用的漏洞，其中突出顯示了有效負載。

圖5.SonicWall set_time_config RCE格式

在針對此漏洞發布Metasploit模塊后不到一周，這些樣本首次出現在8月5日。然而所發現的樣本是使用Gafgyt代碼庫而不是Mirai構建的。

區塊鏈安全咨詢公司 曲速未來 表示：通過這些物聯網/ Linux僵尸網絡將針對Apache Struts和SonicWall的攻擊結合起來可能表明從消費者設備目標到企業目標的更大變動。

本文內容由 曲速未來安全咨詢公司編譯，轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。