Mirai 僵尸网络的一个变体利用四种不同的设备漏洞将流行的基于 Linux 的服务器和物联网 (IoT) 设备添加到可以进行基于网络的攻击(包括分布式拒绝服务 (DDoS) 攻击)的僵尸网络中。
Palo Alto Networks 的 Unit 42 的一个团队观察到这个变体,被称为 IZ1H9,被用于 4 月 10 日的一次利用这些漏洞的攻击:两个命令注入漏洞 - CVE-2023-27076,影响Tenda G103 设备,和CVE-2023- 26801,影响 LB-Link 设备;两个远程代码执行 (RCE) 漏洞,CVE-2023-26802,影响 DCN DCBI-Netlog-LAB,另一个没有影响 Zyxel 设备的CVE 。
研究人员表示,虽然 IZ1H9 变体似乎主要针对 DDoS 攻击,但感染的影响可能会更严重,因为这些漏洞最终会导致 RCE。
事实上,RCE 在企业不想经历的事情列表中名列前茅,这意味着易受攻击的设备正在被攻击者轻松完全接管,通常持续很长时间,并最终成为持久威胁。
没有企业希望在他们的网络中使用受感染的物联网设备来攻击他人,甚至是他们自己,而对这种活动一无所知。
自 2021 年 11 月以来,Unit 42 研究人员观察到 IZ1H9 被一个威胁行为者或同一组行为者在不止一次攻击中使用,尽管该恶意软件自 2018 年以来一直以某种形式存在。
他们将最近的多次攻击归因于同一参与者,这得到了多个因素的支持,包括事件中使用的几乎相同的恶意软件 shell 脚本下载程序。此外,僵尸网络样本从使用几乎相同功能的攻击中发现,它们共享 XOR 解密密钥和相同的基础设施。
IZ1H9 网络攻击和恶意软件分析
在 4 月 10 日的攻击中,当攻击者试图从 IP 163.123.143.126 下载并执行 shell 脚本下载程序 lb.sh 时,研究人员观察到来自他们的威胁搜寻系统的异常流量。
研究人员表示,如果执行,shell 脚本下载程序将首先删除日志以隐藏其踪迹,然后部署并执行多个 bot 客户端以适应不同的 Linux 架构。
在攻击的最后一步,shell 脚本下载器会通过修改设备的 iptable 规则来阻止来自多个端口(包括 SSH、telnet 和 HTTP)的网络连接,这样受害者就无法远程连接和恢复受感染的设备。
IZ1H9 首先检查受感染设备 IP 地址的网络部分,以避免执行一系列 IP 块,包括政府网络、互联网提供商和大型科技公司。
这种行为表明威胁组织对此感兴趣。这表明 botmasters 想要避开这些网络,这样他们就可以继续长期运作,并保持在那些可能专注于阻止他们活动的人的监视之下。
僵尸网络客户端将“Darknet”一词打印到控制台以使其可见,并包含一项功能,可确保设备仅运行一个恶意软件实例。如果僵尸网络进程已经存在,僵尸网络客户端将终止当前进程并启动一个新进程。
僵尸网络客户端还包含属于其他 Mirai 变体和其他僵尸网络恶意软件家族的进程名称列表,检查受感染主机上正在运行的进程名称以终止它们。
缓解 Mirai 变体僵尸网络威胁
臭名昭著的是,自2016 年源代码泄露以来, Mirai 已经产生了许多变体,其中一个可以利用各种设备中的 9 个漏洞进行攻击,另一个BotenaGo 可以利用多达 30 个。
为了抵御 Mirai 变体,建议任何在其基础设施中存在易受攻击设备的人都使用最新版本的软件更新它们,以便在可能的情况下应用任何可用的补丁。
组织还可以使用先进的防火墙和威胁防护来保护他们的网络,这些防火墙和威胁防护利用机器学习来实时检测漏洞利用,以及先进的 URL 过滤和 DNS 安全来阻止命令和控制域和恶意软件托管 URL 。
在面向公众的设备上屏蔽端口 80 (HTTP)、22 (SSH) 和 23 (TELNET) 应该是减轻此类攻击的明智之举。
绝不会在任何设备上让其中一个端口处于打开状态,即使它们完全无法从 Internet 访问,当组织让它们可以访问时,它们直接导致了僵尸网络问题。
补救这种情况的一个主要问题是物联网设备制造商经常在设备刚下线时就打开这些端口,这是“完全的疏忽”。
事实上,应该有一个国际管理机构“让这些物联网制造商对他们的设备被僵尸网络感染负责,然后用来攻击其他人。
似乎只有某种惩罚才能让制造商加强他们制造并出售给其他人的设备的安全性的唯一方法。