行業新聞與部落格
IZ1H9 殭屍網路利用新漏洞攻擊物聯網裝置
安全公司 Fortinet 的研究部門 FortiGuard Labs 發現了基於 IZ1H9 Mirai 的 DDoS 活動的重大演變。
據報道,這一新活動於 9 月份發現,並在週一釋出的公告中進行了描述,據報道,該活動已迅速更新其漏洞庫,包含 13 個不同的有效負載,針對不同物聯網 (IoT) 裝置上的各種漏洞。
9 月 6 日是利用高峰期,觸發次數達到數萬次。這凸顯了該活動透過新發布的漏洞利用程式碼(包含多個 CVE)感染易受攻擊的裝置並迅速擴充其殭屍網路的能力。
漏洞利用有效負載主要針對 D-Link、Netis、Sunhillo SureLine、Geutebruck、Yealink Device Management、Zyxel、TP-Link Archer、Korenix JetWave 和 TOTOLINK 裝置中的漏洞。每個有效負載都是針對利用特定漏洞而定製的,範圍從命令注入到遠端程式碼執行(RCE)。
注入的有效負載從特定 URL 啟動 shell 指令碼下載器“l.sh”。它繼續刪除日誌,下載並執行適用於 Linux 架構的各種機器人客戶端,並阻止多個埠上的網路連線。
IZ1H9 是 Mirai 的變種,它會感染基於 Linux 的物聯網裝置,使它們成為遠端控制的機器人,進行大規模網路攻擊。其配置使用 XOR 金鑰進行解碼,顯示額外的有效負載下載器 URL,以及用於暴力攻擊的預設登入憑據。
受感染裝置和命令伺服器之間的命令與控制 (C2) 通訊非常詳細,展示了該活動在使用特定引數發起 DDoS 攻擊方面的複雜性。
Fortinet 研究員 Cara Lin 表示,該研究強調了 RCE 攻擊對物聯網裝置造成的持續威脅。
“儘管針對這些漏洞提供了補丁,但漏洞觸發的數量仍然高得驚人,通常達到數千個,” 她寫道。
“放大 IZ1H9 活動影響的是對其利用的漏洞的快速更新。一旦攻擊者獲得對易受攻擊裝置的控制,他們就可以將這些新受感染的裝置合併到他們的殭屍網路中,從而使他們能夠發起進一步的攻擊,例如 DDoS 攻擊和暴力破解。”Lin 補充道。
為了減輕這種威脅,敦促組織立即應用補丁並更改其裝置的預設登入憑據。
最近新聞
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要幫助嗎?聯絡我們的支援團隊 線上客服