Mirai:不单单针对物联网 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Mirai:不单单针对物联网

申博_安全防护 申博 133次浏览 已收录 0个评论

简介

Bot开发人员从开发物联网(IoT)歹意软件中吸取了经验,并将重点转向商用Linux效劳器。与许多物联网装备一样,互联网上也存在大批未修补破绽的Linux效劳器,进击者向能够找到的每一个存在破绽的效劳器提议进击,并大规模滥用。ASERT在本身的蜜罐收集中监控Hadoop YARN破绽的应用,并发明了一个熟习但使人惊奇的载荷 – Mirai。这些版本的Mirai与原版异常相像,但能够在Linux效劳器上运转,而不是功用缺乏的物联网装备。固然ASERT之前曾经宣布了Windows Mirai的视察申报,但这是我们第一次在野外看到非IoT Mirai。

要点

· 针对Linux效劳器的Mirai开发者不再需要为新鲜的架构定制歹意软件,他们假定目的运用x86。

· 进击者不是依托bot举行流传,而是转向本身宣布破绽应用。少许进击者正在运用自定义对象来应用Hadoop YARN破绽并分发Linux歹意软件。

· 纵然Hadoop YARN效劳器没有运转telnet效劳,Mirai bot也会实验经由过程telnet暴力破解默许凭据。

· 数据中心的Linux效劳器比家庭收集上的物联网装备的带宽更大,从而使它们成为效力更高的DDoS not。少数资本足够的Linux效劳器会发生与大批物联网僵尸收集相匹敌的进击。

细节

Hadoop YARN破绽很简单,敕令注入破绽许可进击者实行恣意shell敕令。上个月,Radware发明此破绽被用于装置DemonBot DDoS僵尸顺序。在许多方面,这个破绽与我们在物联网装备中看到的其他破绽相似。比方,CVE-2014-8361(Realtek的UPnP SOAP接口中的一个破绽)也能够经由过程向特别端口发送具有特定参数的HTTP要求来引诱shell敕令的实行来应用。Realtek破绽用于分发Mirai变体。

我们的环球蜜罐收集一直在跟踪Hadoop YARN破绽应用的状况。如图1所示,天天有不计其数次的破绽应用实验。

Mirai:不单单针对物联网 Mirai:不单单针对物联网

图1:Hadoop YARN破绽实验次数

使人惊奇的是,云云多的破绽应用实验来自极少数的奇特源IP。图2显现了在统一时间段内举行Hadoop YARN破绽应用的独一源IP地点的数目。

Mirai:不单单针对物联网 Mirai:不单单针对物联网

图2:独一泉源的数目

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。.

若是查看图3中应用这些破绽的前5个User-Agent,我们能够看到进击者运用Python要求库来发送HTTP载荷。

Mirai:不单单针对物联网 Mirai:不单单针对物联网

图3:排名前5的 User-Agent

我们看到的一切歹意软件有效载荷都没有以蠕虫体式格局流传运用Hadoop YARN破绽,而且没有一个有效载荷是用Python编写,据此我们推想少数进击者经由过程手动扫描互联网以应用此破绽。

我们曾经看到的破绽应用有效载荷,如图4所示,一切功用都相反 – 从URL下载歹意软件二进制文件并实行。

Mirai:不单单针对物联网 Mirai:不单单针对物联网

图4:典范的破绽应用

不同之处在于破绽应用中分发的歹意软件。在11月份,我们曾经看到了225个奇特的二进制文件。个中152个,凌驾一半的二进制文件只由一个源地点供应。我们搜检的样本中至少有十几个很明显是Mirai的变体。

Mirai:不单单针对物联网 Mirai:不单单针对物联网

图5:“VPNFilter” Mirai 变体

让我们存眷一个自称为“VPNFilter”的Mirai变体(2bcca8ac8d4d80f6740ef14d521284c0,图5),只管它与更高等的物联网bot有关。在我们的蜜罐收集中,看到这个破绽11月16日来自两个源地点:185.244.25.241和104.248.170.199。此bot的敕令和掌握站点与托管二进制文件的IP地点相反。

这个特别的变体与IoT Mirai的主要区分在于它只供应了x86版本的bit。 IoT Mirai变种将依据潜伏受害者的实际状况来供应合适其CPU架构的可实行文件 –  x86,x64,ARM,MIPS,ARC等。此版本bot只针对在商用x86 Linux效劳器上运转的Hadoop YARN效劳。

在沙箱中运转“VPNFilter”变体时,我们马上注意到它依然实验经由过程telnet暴力重置出厂默许用户名和暗码。若是胜利找到易受进击的装备,它不会直接在受害者上装置歹意软件,而是向效劳器申报IP地点、用户名和暗码,进击者能够主动装置僵尸顺序。

总结

Mirai不再仅仅针对物联网装备。固然向物联网和Linux效劳器分发Mirai的手艺相似,但进击单一x86 Linux效劳器比拟物联网装备更轻易。我们看到数目无限的源地点赓续扫描Hadoop YARN漏,能够注解此行为是一小群进击者的事情。他们的目的很明白,就是将歹意软件装置在尽量多的装备上。一旦取得立足点,在Linux效劳器上的Mirai就像IoT机器人一样,开始运用telnet暴力破解用户名和暗码。不同之处在于僵尸收集中的小型装备当中潜伏着功用完全的Linux效劳器。

本文翻译自:https://asert.arbornetworks.com/mirai-not-just-for-iot-anymore/如若转载,请说明原文地点: http://www.4hou.com/web/14719.html

安全网站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Mirai:不单单针对物联网
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址