安全研究人员正在警告与两个臭名昭着的物联网(IoT)僵尸网络相关的新一波攻击:Mirai和Gafgyt。
在历史上一些最大的分布式拒绝服务(DDoS)攻击背后,Mirai 的源代码在2016年10月首次出现后不久就泄露了。自其源代码产生了许多Mirai变种,其中最新的变种包括Wicked和Omni。
Gafgyt 也被称为Bashlite,Lizkebab和Torlus ,于2014年首次被发现并且其源代码在2015年初泄露。到2016年夏天,陷入困境的设备数量突破100万以上,尽管它们分布在多个僵尸网络上。
与这两个僵尸网络相关的最近三次感染活动表明恶意软件作者对利用物联网设备中的漏洞而不是弱凭据的兴趣增加。
这些攻击似乎再次表明两个僵尸网络之间可能存在联系,两年前Mirai的初步报告也在详细说明。
帕洛阿尔托网络公司透露,第一个活动与全新的Mirai演变之一Omni相关,并因其独家使用漏洞而在人群中脱颖而出。
僵尸网络针对广泛的攻击:5月份公开的Dasan GPON路由器中的两个漏洞(此后一直是僵尸网络的目标),华为路由器安全漏洞,D-Link设备中的两个命令执行问题,漏洞Vacron NVR设备,JAWS Web服务器命令执行,以及来自70多家供应商的CCTV和DVR中的远程代码执行。
该活动还显示了使用两种不同的加密方案,不尝试通过凭证强制传播,并通过使用iptables丢弃在某些端口上接收的数据包来防止受损设备的进一步感染。
恶意软件用于提供有效负载的IP以及作为命令和控制(C&C)服务器的IP也被观察到被同时出现的一些Gafgyt样本使用。
第二个活动使用与第一系列攻击相同的攻击,但也尝试了凭证暴力攻击,其中一些是Camtron IP摄像机和Control4和ADC FlexWave Prism设备的默认凭据。
研究人员还注意到,一些样本包括一些全新的DDoS方法,并且一些最新的样本完全消除了这些漏洞并且回到了专门尝试暴力破坏的方法。
安全研究人员透露,第三项活动不再试图用Mirai变种感染设备,而是提供基于Gafgyt源代码构建的恶意软件,该代码还包括第7层DDoS定位功能(SendHTTPCloudflare )。
这些攻击几乎是针对所有漏洞攻击作为第一个战役,以及作为第二个战役的一部分观察到的暴力攻击尝试,但也开始使用D-Link DSL-2750B OS命令注入攻击。
这些新活动的影响之一是针对由Dasan和D-Link制造的小型办公室/家庭办公室(SOHO)网络设备的攻击激增,正如eSentire 警告的那样。根据安全公司的说法,攻击涉及超过3000个源IP,但所有这些都由单一来源命令协调。
正如Palo Alto Networks所指出的那样,新的攻击再次证明了攻击者如何构建由不同类型的设备组成的大型僵尸网络,并从单个C&C服务器控制它们。
“新发布的漏洞的利用速度加剧了这一点,并且还强调了安全厂商反应这些披露的反应性需求,适用于那些属于安全设备保护的设备的子集,”安全公司得出结论。