行業新聞與博客

安全公司 Fortinet 的研究部門 FortiGuard Labs 發現了基於 IZ1H9 Mirai 的 DDoS 活動的重大演變。 

據報道，這一新活動於 9 月份發現，並在週一發佈的公告中進行了描述，據報道，該活動已迅速更新其漏洞庫，包含 13 個不同的有效負載，針對不同物聯網 (IoT) 設備上的各種漏洞。

9 月 6 日是利用高峯期，觸發次數達到數萬次。這凸顯了該活動通過新發布的漏洞利用代碼（包含多個 CVE）感染易受攻擊的設備並迅速擴展其殭屍網絡的能力。

漏洞利用有效負載主要針對 D-Link、Netis、Sunhillo SureLine、Geutebruck、Yealink Device Management、Zyxel、TP-Link Archer、Korenix JetWave 和 TOTOLINK 設備中的漏洞。每個有效負載都是針對利用特定漏洞而定製的，範圍從命令注入到遠程代碼執行（RCE）。

注入的有效負載從特定 URL 啓動 shell 腳本下載器“l.sh”。它繼續刪除日誌，下載並執行適用於 Linux 架構的各種機器人客户端，並阻止多個端口上的網絡連接。

IZ1H9 是 Mirai 的變種，它會感染基於 Linux 的物聯網設備，使它們成為遠程控制的機器人，進行大規模網絡攻擊。其配置使用 XOR 密鑰進行解碼，顯示額外的有效負載下載器 URL，以及用於暴力攻擊的預設登錄憑據。

受感染設備和命令服務器之間的命令與控制 (C2) 通信非常詳細，展示了該活動在使用特定參數發起 DDoS 攻擊方面的複雜性。

Fortinet 研究員 Cara Lin 表示，該研究強調了 RCE 攻擊對物聯網設備造成的持續威脅。 

“儘管針對這些漏洞提供了補丁，但漏洞觸發的數量仍然高得驚人，通常達到數千個，” 她寫道。

“放大 IZ1H9 活動影響的是對其利用的漏洞的快速更新。一旦攻擊者獲得對易受攻擊設備的控制，他們就可以將這些新受感染的設備合併到他們的殭屍網絡中，從而使他們能夠發起進一步的攻擊，例如 DDoS 攻擊和暴力破解。”Lin 補充道。

為了減輕這種威脅，敦促組織立即應用補丁並更改其設備的默認登錄憑據。