新型物联网僵尸网络Persirai现身

前言

趋势科技告警称大约12万台基于多家原始设备制造商产品的网络摄像头机型易受一种新型物联网僵尸网络Persirai的攻击。

新型物联网僵尸网络Persirai现身

Persirai针对1000多种互联网摄像头机型发起攻击,而多数用户并未意识到这一点。结果攻击者就能通过TCP端口81轻易访问设备的web接口。

由于互联网摄像头一般使用的是UPnP协议,设备能够打开路由器上的一个端口并起到服务器的作用,因此它们是物联网恶意软件非常容易发现的目标。通过访问这些设备易受攻击的接口,攻击者能够注入命令强制设备连接至某个站点,并下载执行恶意shell脚本。

Persirai在易受攻击的设备上执行后就会自删除并持续仅在内存中运行。另外它还会拦截自己使用的0day利用代码以阻止其他攻击者攻击同样的互联网摄像头。由于恶意代码在内存中运行,因此重启还会导致设备易受攻击。

受影响的互联网摄像头向多个C&C服务器汇报(load.gtpnet.ir、ntp.gtpnet.ir、185.62.189.232和95.85,38.103)。一旦从服务器中接收到命令,受感染设备就会自动开始利用一个公开的0day漏洞攻击其它互联网摄像头,攻击者能从用户那里获得密码文件并执行命令注入。Persirai僵尸网络能够通过UDP洪水发动DDoS攻击并且在不欺骗IP地址的情况下通过SSDP包发动攻击。

安全研究人员设法将僵尸网络跟使用.ir国家代码的C&C服务器联系在一起。这个代码是由一家伊朗研究机构管理的而且只能由伊朗人使用。此外,这款恶意软件的代码包含一些特别的波斯字符。

Persirai似乎构建于Mirai源代码基础之上,后者披露于去年的10月份。Persirai还会针对安装了最新固件版本的设备,并且无法通过使用强密码得到延缓,因为它会利用一个窃取密码的漏洞。因此,互联网摄像头所有人应当执行其它安全措施来保护设备安全。

后记

安全研究人员指出,“物联网安全的责任不应当仅依靠用户,厂商本身也应当负责,因为后者应当确保设备是安全的且不断更新。因此,用户应当确保设备安装了最新固件以将漏洞利用的几率最小化。”

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-05-11
新型物联网僵尸网络Persirai现身
趋势科技告警称大约12万台基于多家原始设备制造商产品的网络摄像头机型易受一种新型物联网僵尸网络Persirai的攻击。

长按扫码 阅读全文