行業新聞與部落格

安全公司 Fortinet 的研究部門 FortiGuard Labs 發現了基於 IZ1H9 Mirai 的 DDoS 活動的重大演變。 

據報道，這一新活動於 9 月份發現，並在週一釋出的公告中進行了描述，據報道，該活動已迅速更新其漏洞庫，包含 13 個不同的有效負載，針對不同物聯網 (IoT) 裝置上的各種漏洞。

9 月 6 日是利用高峰期，觸發次數達到數萬次。這凸顯了該活動透過新發布的漏洞利用程式碼（包含多個 CVE）感染易受攻擊的裝置並迅速擴充其殭屍網路的能力。

漏洞利用有效負載主要針對 D-Link、Netis、Sunhillo SureLine、Geutebruck、Yealink Device Management、Zyxel、TP-Link Archer、Korenix JetWave 和 TOTOLINK 裝置中的漏洞。每個有效負載都是針對利用特定漏洞而定製的，範圍從命令注入到遠端程式碼執行（RCE）。

注入的有效負載從特定 URL 啟動 shell 指令碼下載器“l.sh”。它繼續刪除日誌，下載並執行適用於 Linux 架構的各種機器人客戶端，並阻止多個埠上的網路連線。

IZ1H9 是 Mirai 的變種，它會感染基於 Linux 的物聯網裝置，使它們成為遠端控制的機器人，進行大規模網路攻擊。其配置使用 XOR 金鑰進行解碼，顯示額外的有效負載下載器 URL，以及用於暴力攻擊的預設登入憑據。

受感染裝置和命令伺服器之間的命令與控制 (C2) 通訊非常詳細，展示了該活動在使用特定引數發起 DDoS 攻擊方面的複雜性。

Fortinet 研究員 Cara Lin 表示，該研究強調了 RCE 攻擊對物聯網裝置造成的持續威脅。 

“儘管針對這些漏洞提供了補丁，但漏洞觸發的數量仍然高得驚人，通常達到數千個，” 她寫道。

“放大 IZ1H9 活動影響的是對其利用的漏洞的快速更新。一旦攻擊者獲得對易受攻擊裝置的控制，他們就可以將這些新受感染的裝置合併到他們的殭屍網路中，從而使他們能夠發起進一步的攻擊，例如 DDoS 攻擊和暴力破解。”Lin 補充道。

為了減輕這種威脅，敦促組織立即應用補丁並更改其裝置的預設登入憑據。