另一个嵌入 Mirai 碎片的物联网僵尸网络可以从 10 万台设备执行 DDoS

名为 Persirai 的 Bot-herding 软件结合了Mirai 僵尸网络代码，可以征用已知 150,000 个易受 Mirai 攻击的 IP 摄像机的重要部分，并使用它们来发起分布式拒绝服务攻击。

据Trend Micro 的研究人员称， Persirai 僵尸网络已经攻击了至少四个目标，并且以可预测的模式开始。

Persirai 利用摄像头中的已知漏洞来感染它们，让它们从命令和控制服务器下载恶意软件，然后让它们感染其他易受攻击的摄像头或发起 DDoS 攻击。“根据研究人员的观察，一旦受害者的 IP 摄像头收到 C&C 命令（每 24 小时在 UTC 时间下午 12:00 发生），DDoS 攻击就会开始，”研究人员说。

他们说他们已经确定了至少四名 DDoS 攻击的受害者，但不能透露他们是谁。

下载恶意软件后，它会在内存中运行并从硬盘驱动器中删除自身，Trend 说，因此如果设备重新启动，它们就会摆脱感染。因此，攻击者不断寻找和重新感染相机。

Trend 表示，由多家制造商生产的 1,000 多种独立相机型号容易受到攻击。“在最初发现时，大约在 4 月的第一周和第二周，僵尸网络使用了大约 150,000 个摄像头，”研究人员说。“然而，最新结果显示，截至 5 月 10 日，约有 99,000 人。” 物联网搜索引擎 Shodan 将大约 120,000 个摄像头识别为易受攻击的。

根据 Trend 的说法，这可能暗示了谁编写了 Persirai：“我们发现 C&C 服务器使用了 .IR 国家/地区代码。该特定国家/地区代码由伊朗研究机构管理，仅限伊朗人使用。我们还发现了恶意软件作者使用的一些特殊波斯字符。”

独立研究员 Pierre Kim 详细说明了Persirai 如何进入相机。“‘云’协议仅使用目标摄像机的序列号在攻击者和摄像机之间建立明文 UDP 隧道（以绕过 NAT 和防火墙）。然后，攻击者可以自动暴力破解摄像机的凭据，”他写道。

Kim 表示，该漏洞存在于 1,250 款相机型号中，这些型号均基于为销售它们的各个品牌提供 OEM 的硬件。“因此，相机以不同的名称、品牌和功能出售，”Kim 写道。“每个供应商的 HTTP 接口都不同，但具有相同的漏洞。OEM 供应商使用自定义版本的 GoAhead [嵌入式 Web 服务器]，并在其中添加了易受攻击的代码。”

Alien Vault在此张贴 Persirai 合并了一些 Mirai 代码。“这个僵尸网络借鉴了 Mirai 的端口扫描模块等部分代码，但在感染链、C2 通信协议、攻击模块等方面与 Mirai 完全不同。尽管 Mirai 提到了二进制名称，但将其视为 Mirai 变体可能并不明智，” Alien Vault 说。

Kim 有这样的建议：“我建议立即将摄像头与互联网断开连接。”

这个故事，“另一个嵌入了 Mirai 碎片的物联网僵尸网络可以从 10 万台设备执行 DDoS”，最初由Network World发表 。

标签：10,攻击,000,DDoS,Persirai,Mirai,摄像头
来源： https://blog.csdn.net/ZY_Eliza/article/details/122469354