2019年Palo Alto Networks的威脅情報小組Unit 42就發(fā)現惡意軟件Mirai有了新的攻擊型态，該惡意軟件主要以各種(zhǒng)嵌入式、物聯網裝置的軟件漏洞爲目标，以分布式阻斷服務攻擊（DDoS）和其自我複制方式爲主，從2016年起(qǐ)成(chéng)功入侵數個值得注意的目标。這(zhè)些被鎖定的物聯網裝置包括無線投影系統、機頂盒、SD-WAN甚至智能(néng)家居遙控器。Mirai是一款惡意軟件，它可以使執行Linux的計算系統成(chéng)爲被遠程操控的僵屍網絡，以達到通過(guò)殭屍網絡進(jìn)行大規模網絡攻擊的目的。Mirai的主要感染對(duì)象是可存取網絡的消費級電子裝置，例如網絡監控攝錄像機和家庭路由器等。

最近，Palo Alto Networks正在積極嘗試保護其客戶免受可能(néng)的攻擊，通過(guò)利用其下一代防火牆作爲外圍傳感器來檢測惡意有效載荷和攻擊方式，這(zhè)樣Unit 42研究人員能(néng)夠找出網絡上存在的威脅，不管它們是否被發(fā)現。

Unit 42研究人員對(duì)最近發(fā)現的利用命令注入漏洞的兩(liǎng)個攻擊活動中的四種(zhǒng)Mirai變種(zhǒng)進(jìn)行了仔細研究，發(fā)現了一種(zhǒng)熟悉的物聯網攻擊模式。如上所述，2019年Unit 42就發(fā)現惡意軟件Mirai有八種(zhǒng)新的叠代形式。

盡管這(zhè)種(zhǒng)通用方法允許研究人員觀察整個攻擊活動鏈，甚至從攻擊中獲取惡意軟件二進(jìn)制文件，但這(zhè)種(zhǒng)後(hòu)開(kāi)發(fā)（post-exploitation）攻擊式确實留有其攻擊痕迹：流量指紋識别。相似的服務會産生相似的流量模式，這(zhè)是由于相似的代碼庫和基礎實現（如果不相同）。由于一項服務可以存在于具有不同配置的多個設備中，并且一個特定的設備有多個品牌，因此實時識别敏感設備變得非常困難。

本文簡要分析了野外觀察到的兩(liǎng)種(zhǒng)物聯網漏洞以及攻擊期間提供的四種(zhǒng)Mirai變體，Palo Alto Networks的下一代防火牆客戶可以免受這(zhè)些攻擊。

利用有效載荷包括Mirai變體

Unit 42最近發(fā)現了總共四個Mirai變體，這(zhè)些變體利用兩(liǎng)個新漏洞作爲攻擊媒介來傳播Mirai。成(chéng)功利用後(hòu)，將(jiāng)調用wget實用程序從惡意軟件基礎結構中下載Shell腳本。然後(hòu)，shell腳本會下載爲不同架構編譯的多個Mirai二進(jìn)制文件，并一一執行這(zhè)些下載的二進(jìn)制文件。

如圖1所示，第一個漏洞利用了具有NTP服務器設置功能(néng)的Web服務中的命令注入漏洞。該服務無法清除HTTP參數NTP_SERVER的值，從而導緻任意命令執行。

命令注入漏洞

根據從攻擊流量中獲得的線索，我們將(jiāng)範圍縮小到了一些已知可通過(guò)HTTP同步時間的IoT設備，并在某些IoT設備的固件中找到了幾個易受攻擊的NTP服務器處理例程，這(zhè)令人擔憂，因爲某些供應商沒(méi)有不再支持運行上述固件的産品。圖2顯示了一個在庫模塊中發(fā)現的此類易受攻擊的函數，盡管我們分析的固件具有這(zhè)種(zhǒng)不安全的功能(néng)，但幸運的是，由于這(zhè)些固件中不存在目标統一資源标識符（URI），因此它們不受此特定攻擊的影響。在我們繼續分析可能(néng)通過(guò)HTTP進(jìn)行時間同步的其他IoT設備時，仍在識别受影響的産品。

固件中的易受攻擊的代碼片段

第一個漏洞的最初攻擊事(shì)件發(fā)生在2020年7月23日UTC上午05:55:06。這(zhè)次攻擊(如圖1所示)持續了幾周，最後(hòu)一次報告是在2020年9月23日下午15點21分23分(UTC)。在撰寫本文時，共有42個獨特的警報。

在野外捕獲的第二個利用比第一個利用提供的上下文更少，URL和HTTP請求頭不會産生任何有用的信息。顯然，HTTP參數pid中缺少參數清理，這(zhè)導緻了命令注入漏洞，如圖3所示。我們推測目标服務是某種(zhǒng)類型的遠程進(jìn)程管理工具，因爲在攻擊流量中有類似的參數模式，并且它可能(néng)是實驗性的，因此使用率很低。

通過(guò)網絡進(jìn)行命令注入利用

在短短12秒内，總共發(fā)生了48次獨特的攻擊事(shì)件。這(zhè)次攻擊開(kāi)始于2020年8月16日上午09:04:39 (UTC)，結束于2020年8月16日上午09:04:51 (UTC)，這(zhè)表明這(zhè)種(zhǒng)攻擊是快速且短暫的。

我們將(jiāng)Mirai變體按數字分組：1、2、3和4。每個Mirai變體的SHA256可在下面(miàn)的“攻擊指标”部分中找到。表1列出了每種(zhǒng)變體的攻擊方法以及嵌入式解密密鑰。

傳播方式和解密密鑰

盡管這(zhè)些變體沒(méi)有完全相同的來源和配置，但它們都(dōu)具有發(fā)起(qǐ)DDoS攻擊所需的功能(néng)。變體4還(hái)具有其他三個變體所沒(méi)有的感染能(néng)力，這(zhè)使其成(chéng)爲更危險的威脅。下表2總結了此特定Mirai變體用于感染其他易受攻擊主機的利用。就像其前面(miàn)的樣本一樣，此變體繼承了以前的變體中也使用過(guò)的漏洞利用程序。

變體4的感染功能(néng)

總結

物聯網設備的安全性仍然令人擔憂，物聯網安全性的一大挑戰是，不再受支持的物聯網設備仍在部署和使用中。不幸的是，固件中的漏洞不僅會随着固件産品的消失而消失。

——END——

　　更多網站設計、網頁設計等相關内容，歡迎您咨詢中山網訊科技！
　　
責任編輯：中山網站建設
     【網訊網絡】國(guó)家高新技術企業》十二年專注軟件開(kāi)發(fā)，網站建設，網頁設計，APP開(kāi)發(fā)，小程序，微信公衆号開(kāi)發(fā)，定制各類企業管理軟件（OA、CRM、ERP、OMS訂單管理系統、WMS進(jìn)銷存管理軟件等)！服務熱線：0760-88610046、13924923903，http://www.wansion.net