翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
【威胁报告】一个新IoT僵尸网络正在 HTTP 81上大范围传播
前言
4月16日,360网络安全研究院监测到此僵尸网络大规模活动,并将此僵尸网络命名为http81,同时提出,如果任由此僵尸网络发展,其防御难道将提高,向全球安全社区发出预警,后来此僵尸网络被趋势科技命名为Persirai。
趋势科技告警称大约12万台基于多家原始设备制造商产品的网络摄像头机型易受一种新型物联网僵尸网络Persirai的攻击。
新型物联网僵尸网络Persirai现身
Persirai针对1000多种互联网摄像头机型发起攻击,而多数用户并未意识到这一点。结果攻击者就能通过TCP端口81轻易访问设备的web接口。
由于互联网摄像头一般使用的是UPnP协议,设备能够打开路由器上的一个端口并起到服务器的作用,因此它们是物联网恶意软件非常容易发现的目标。通过访问这些设备易受攻击的接口,攻击者能够注入命令强制设备连接至某个站点,并下载执行恶意shell脚本。
Persirai在易受攻击的设备上执行后就会自删除并持续仅在内存中运行。另外它还会拦截自己使用的0day利用代码以阻止其他攻击者攻击同样的互联网摄像头。由于恶意代码在内存中运行,因此重启还会导致设备易受攻击。
受影响的互联网摄像头向多个C&C服务器汇报(load.gtpnet.ir、ntp.gtpnet.ir、185.62.189.232和95.85,38.103)。一旦从服务器中接收到命令,受感染设备就会自动开始利用一个公开的0day漏洞攻击其它互联网摄像头,攻击者能从用户那里获得密码文件并执行命令注入。Persirai僵尸网络能够通过UDP洪水发动DDoS攻击并且在不欺骗IP地址的情况下通过SSDP包发动攻击。
安全研究人员设法将僵尸网络跟使用.ir国家代码的C&C服务器联系在一起。这个代码是由一家伊朗研究机构管理的而且只能由伊朗人使用。此外,这款恶意软件的代码包含一些特别的波斯字符。
Persirai似乎构建于Mirai源代码基础之上,后者披露于去年的10月份。Persirai还会针对安装了最新固件版本的设备,并且无法通过使用强密码得到延缓,因为它会利用一个窃取密码的漏洞。因此,互联网摄像头所有人应当执行其它安全措施来保护设备安全。
后记
安全研究人员指出,“物联网安全的责任不应当仅依靠用户,厂商本身也应当负责,因为后者应当确保设备是安全的且不断更新。因此,用户应当确保设备安装了最新固件以将漏洞利用的几率最小化。”
【威胁报告】一个新IoT僵尸网络正在 HTTP 81上大范围传播