针对企业的新型变种恶意软件Mirai Gafgyt IoT

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

针对企业的新型变种恶意软件Mirai Gafgyt IoT

两个僵尸网络看起来非常有趣,主要有两个原因:

新的Mirai变体针对的是2017年Equifax数据泄露中利用的Apache Struts漏洞。该漏洞影响Apache中的Jakarta Multipart解析器上载功能,攻击者可利用此漏洞向Apache Web服务器发出恶意制作的请求。
新的Gafgyt变体针对一个新披露的漏洞,该漏洞影响 了SonicWall全球管理系统(GMS)的旧版, 不受支持的版本。
机器人恶意代码针对Apache Struts和SonicWall的事实可能表明从消费者设备目标转向企业目标。

这些发展表明,这些IOT僵尸网络越来越多地瞄准具有过时版本的企业设备。Palo Alto Networks发布的分析报告显示。

所有组织都应该确保他们不仅保持他们的系统最新和修补,还要保证他们的物联网设备。

9月,专家检测到Mirai样本,其中包含针对16个漏洞的漏洞利用代码,这是Apache Struts中首次出现恶意软件目标漏洞。

这些示例托管在8月份解析为不同IP地址的域中。8月,同一IP地址间歇性地托管Gafgyt的样本,其中包括利用代码来触发影响旧版SonicWall全球管理系统(GMS)的CVE-2018-9866漏洞。

过去也发现了与其他Mirai活动相关的相同域名。

在2018年8月的部分时间里,同一个域名解析为不同的IP地址185 [。] 10 [。] 68 [。] 127。继续进行分析。当时我们发现Gafgyt的IP托管样本包含对最近披露的SonicWall漏洞(CVE-2018-9866)的攻击,该漏洞影响不存在的SonicWall全球管理系统(GMS)(8.1及更早版本)的旧版本,不受支持的版本在 当前支持的版本中。

专家注意到,新的Mirai示例不包括与其他变体不同的暴力函数,它们使用l [。] ocalhost [。]主机:47883作为C2,并使用密钥0xdeadf00d实现与Mirai相同的加密方案。

Gafgyt样本首次出现在8月5日的野外,就 在SonicWall问题的Metasploit模块发布几天之后 。样本从Gafgyt而不是Mirai借用代码。

通过这些物联网/ Linux僵尸网络将针对Apache Struts和SonicWall的攻击结合起来可能表明从消费者设备目标到企业目标的更大变动。

CE安全网

发表评论

您必须登录才能发表评论!