行業新聞與博客
IZ1H9 殭屍網絡利用新漏洞攻擊物聯網設備
安全公司 Fortinet 的研究部門 FortiGuard Labs 發現了基於 IZ1H9 Mirai 的 DDoS 活動的重大演變。
據報道,這一新活動於 9 月份發現,並在週一發佈的公告中進行了描述,據報道,該活動已迅速更新其漏洞庫,包含 13 個不同的有效負載,針對不同物聯網 (IoT) 設備上的各種漏洞。
9 月 6 日是利用高峯期,觸發次數達到數萬次。這凸顯了該活動通過新發布的漏洞利用代碼(包含多個 CVE)感染易受攻擊的設備並迅速擴展其殭屍網絡的能力。
漏洞利用有效負載主要針對 D-Link、Netis、Sunhillo SureLine、Geutebruck、Yealink Device Management、Zyxel、TP-Link Archer、Korenix JetWave 和 TOTOLINK 設備中的漏洞。每個有效負載都是針對利用特定漏洞而定製的,範圍從命令注入到遠程代碼執行(RCE)。
注入的有效負載從特定 URL 啓動 shell 腳本下載器“l.sh”。它繼續刪除日誌,下載並執行適用於 Linux 架構的各種機器人客户端,並阻止多個端口上的網絡連接。
IZ1H9 是 Mirai 的變種,它會感染基於 Linux 的物聯網設備,使它們成為遠程控制的機器人,進行大規模網絡攻擊。其配置使用 XOR 密鑰進行解碼,顯示額外的有效負載下載器 URL,以及用於暴力攻擊的預設登錄憑據。
受感染設備和命令服務器之間的命令與控制 (C2) 通信非常詳細,展示了該活動在使用特定參數發起 DDoS 攻擊方面的複雜性。
Fortinet 研究員 Cara Lin 表示,該研究強調了 RCE 攻擊對物聯網設備造成的持續威脅。
“儘管針對這些漏洞提供了補丁,但漏洞觸發的數量仍然高得驚人,通常達到數千個,” 她寫道。
“放大 IZ1H9 活動影響的是對其利用的漏洞的快速更新。一旦攻擊者獲得對易受攻擊設備的控制,他們就可以將這些新受感染的設備合併到他們的殭屍網絡中,從而使他們能夠發起進一步的攻擊,例如 DDoS 攻擊和暴力破解。”Lin 補充道。
為了減輕這種威脅,敦促組織立即應用補丁並更改其設備的默認登錄憑據。
最近新聞
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要幫助嗎?聯繫我們的支持團隊 在線客服