快訊

不當限縮釋憲權?為何大法官不受理監察院釋憲聲請?

台大醫休學、27歲拿法國天文博士 她跌破眾人眼鏡返台任教

惡意軟體Mirai新變種 專門鎖定攻擊物聯網裝置

Palo Alto Networks的威脅情報小組Unit 42最近發現惡意軟體Mirai有了新的演變及八種新型態,該惡意軟體主要目標是針對各種嵌入式、物聯網裝置的軟體漏洞為目標,以分散式阻斷服務攻擊(DDoS)和其自我複製方式為主,從2016年起成功入侵數個值得注意的目標。這些被鎖定的物聯網裝置包括無線投影系統、機上盒、SD-WAN甚至智慧家居遙控器。

Mirai最初利用預設憑證來獲得進入裝置的權限。然而,自2017年底以來,Palo Alto Networks的威脅情報小組Unit 42觀察到該惡意軟體的家族樣本,專門針對物聯網裝置的軟體漏洞,在易受攻擊的設備上進行傳播和運行。

2018年起,Palo Alto Networks威脅情報小組Unit 42發現,在同一樣本中包含漏洞的變種活動持續增加,將不同類型的物聯網裝置活動資訊蒐集到相同一個殭屍網絡。那時起,還觀察到Mirai惡意軟體作者公開的在 ”exploit-db”上測試,試圖利用這些漏洞來增加殭屍網絡數量。這個最新的新變種似乎是同一趨勢的延續

八種新加入的型態

最新的變種共包含18種型態,其中八種是新加入的。以下列出在實際情況中第一次揭露而被利用的新漏洞,而附錄中的表1中有更多詳細資訊:

  ●CVE-2019-3929

  ●OpenDreamBox Remote Code Execution

  ●CVE-2018-6961

  ●CVE-2018-7841

  ●CVE-2018-11510

  ●Dell KACE Remote Code Execution

  ●CVE-2017-5174

  ●HooToo TripMate Remote Code Execution

新樣本中還含有4個過去Mirai變種利用漏洞的型態,包括:

  ●LG Supersign TVs

  ●WePresent WiPG-1000 Wireless Presentation Systems

  ●Belkin WeMo devices

  ●MiCasaVerde VeraLite Smart Home Controllers

這些新樣本還包括攻擊Oracle WebLogic Servers RCE的漏洞型態,被用於建構Linux和Windows殭屍網絡。

附錄的表3中列出過去被Mirai使用過的漏洞型態

Mirai變種分析

該新變種除了上面提到的漏洞型態外,還有一些新的特徵:

  ●用於字串表的加密密鑰是0xDFDAACFD,它基於原始Mirai源代碼中使用的標準加密方案(在toggle_obf函數中實現),相當於一個字節為XOR的0x54。

  ●我們之前在研究中沒有遇到過幾種用於暴力破解的預設憑證(雖然我們無法確認這是他們第一次使用Mirai)。這些在附錄中的表2中列出,以及使用它們的設備,值得注意的是,所有這些憑證都可以在網路上找到。

基礎架構

樣本所在的開放目錄如圖1所示:

該變種的例子在不同版本的不同埠使用C2的兩個功能變數名稱,如下所述。

最新版本使用的C2兩個功能變數名稱為。

  ●akuma[.]pw :17

  ●akumaiotsolutions[.]pw:912

雖然這兩個網域目前沒有解析到任何IP位址,但通過在Shodan上搜尋,研究人員發現該位址的通訊埠17同時也被用作C2。下方螢幕截圖是來自Mirai C2伺服器的17通訊埠回應記錄表明C2代碼是如何寫入原始代碼的:

文件上傳時間:

  ●26-May-2019 10:05

  ●21-May-2019 16:34

  ●21-May-2019 08:38

  ●19-May-2019 06:05

從2019年5月21日08:38開始的簡易版本使用以下2個C2網域。 它們與其他樣本使用的網域相同(在之前或之後的日期上傳)但通訊埠不同。

結論

新發現的變種是Linux惡意軟體作者設法擴大感染率所持續嘗試的結果。因此,更多數量的物聯網設備會形成更巨大的殭屍網絡,因而提供給分散式阻斷服務攻擊(DDoS)攻擊強大的能力。通過使用這些變種觀察到的結果,效率較高的漏洞,即感染更多數量的裝置會在未來的變種中被保留或重新使用,而效率較低的漏洞會被淘汰或被惡意軟體作者替換成其他漏洞。

惡意軟體 物聯網

延伸閱讀

Word別再猛敲空白鍵了!排版實用「定位點」功能

拆分獨立後的新版Cortana反應速度更快 支援對話式互動

Windows開始選單又要改了?微軟意外公開了全新設計

懷疑另一半有鬼? 一招讓Line隱藏訊息無所遁形

相關新聞

蘋果直營店開放AR體驗 欣賞當代藝術家作品

蘋果公司(Apple)今天宣布,全球蘋果直營店將提供一系列Today atApple擴增實境(AR)課程與[AR]T體驗...

特斯拉巨型蓄電系統「Megapack」 一口氣存3MWh!

眾所皆知除了電動車以外,特斯拉也一直相當專注發展綠電儲能產品,今天他們推出了全新巨型公共電池產品「Megapack」...

NVIDIA對外開放GauGAN工具資源,讓複雜背景影像創作變得更加簡單

在今年GTC 2019期間展示的GauGAN研究工具,NVIDIA在此次SIGGRAPH 2019正式開展前,宣布將開放此項工具讓更多創作者能以此快速建造擬真的背景內容。

NVIDIA打造支援即時光影追跡表現的第一人稱視角AR眼鏡、重現阿波羅11號登月場景

除了宣布擴大擴大即時光影追跡技術應用,NVIDIA更宣布推出第一人稱視角AR眼鏡設備,並且透過即時光影渲染演算效果與肢體識別技術,讓身著太空裝在月球表面漫步跳舞的影片創作變得更簡單。

惡意軟體Mirai新變種 專門鎖定攻擊物聯網裝置

Palo Alto Networks的威脅情報小組Unit 42最近發現惡意軟體Mirai有了新的演變及八種新型態,該惡意軟體主要目標是針對各種嵌入式、物聯網裝置的軟體漏洞為目標,以分散式阻斷服務攻擊

為什麼「容器」技術在現今網路架構應用變得重要?

在現今的網路架構中,容器 (container)已經扮演相當重要角色,尤其在日趨複雜,卻又必須快速改變的網路服務運作中,容器更成為跨平台應用,並且確保安全的關鍵技術。

Tesla車主很快就能在車輛上觀看YouTube、Netflix內容

日前透露將開放旗下車輛在靜止後,將可藉由車上觸控螢幕觀看YouTube、Netflix內容,顯然Tesla準備在今年8月開始釋出此項更新。

熱門新聞

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。