外媒報導Mirai 的 DDoS 惡意軟體僵屍網路變種 IZ1H9 近期開始活躍,鎖定知名廠牌 D-Link、Zyxel、TP-Link、TOTOLINK 路由器及 Linux 路由器新增了 13 個新有效載荷。
Fortinet 表示,9月第一周 IZ1H9 惡意軟體針對易受攻擊設備的利用嘗試達到了數萬次。IZ1H9 在成功入侵受害者設備後,便將其加入 DDoS群組,然後對指定目標發起 DDoS 攻擊。
DDoS 惡意軟體鎖定的設備和漏洞越多,就越有可能建立一個龐大而強大的僵屍網路,以此對目標網站進行大規模攻擊。Fortinet 表示IZ1H9使用多個2015 年到 2023 年路由器漏洞:
- D-Link 設備: CVE-2015-1187、CVE-2016-20017、CVE-2020-25506、CVE-2021-45382
- Netis WF2419:CVE-2019-19356
- Sunhillo SureLine(8.7.0.1.1 之前的版本): CVE-2021-36380
- Geutebruck 產品: CVE-2021-33544、CVE-2021-33548、CVE-2021-33549、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
- Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
- Zyxel EMG3525/VMG1312(V5.50 之前): CVE 未指定,但針對 Zyxel 裝置的 /bin/zhttpd/ 元件漏洞
- TP-Link Archer AX21 (AX1800): CVE-2023-1389
- Korenix JetWave 無線 AP: CVE-2023-23295
- TOTOLINK 路由器 CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083
不僅如此, IZ1H9還針對與"/cgi-bin/login.cgi " 路由相關的未指定 CVE,這可能會影響 Prolink PRC2402M 路由器。
漏洞被利用後,IZ1H9 有效載荷就會被立刻注入到受害者目標設備,其中包含一條從指定 URL 獲取名為 "l.sh "的 shell 腳本下載器的命令。腳本執行後,會刪除日誌以隱藏惡意活動,接下來,它會獲取針對不同系統架構定制的機器人用戶端。
最後,腳本會修改設備的 iptables 規則,以阻礙特定連接埠,增加設備管理員從設備上刪除惡意軟體的難度。
完成上述所有操作後,IZ1H9 僵屍網路就會與 C2(命令與控制)伺服器建立通信,並等待執行命令。據悉,支持的命令與要發起的 DDoS 攻擊類型相關,主要包括 UDP、UDP Plain、HTTP Flood 和 TCP SYN等。
Fortinet並指出,IZ1H9 也採用暴力破解攻擊取得硬編碼憑證。以上這些攻擊可能會損及受害目標的相鄰設備中,或對沒有有效利用的物聯網進行身份驗證。
網路安全專家建議物聯網設備所有者使用高強度的管理員用戶憑證,並將其更新為最新韌體版本。在可能的情況下,儘量減少設備在網路上暴露的頻率。
本文轉載自BleepingComputer。