10萬“肉雞”組成的新型Mirai僵尸網(wǎng)絡(luò)變種來襲

責(zé)任編輯:editor007

2017-11-28 11:30:01

摘自:E安全

上周,安全專家發(fā)現(xiàn)約10萬IP在不到三天時(shí)間瘋狂掃描存在漏洞的ZyXEL(合勤) PK5001Z路由器,斷定新型Mirai變種正在快速傳播。PoC代碼使用這兩個(gè)憑證登錄了遠(yuǎn)程ZyXEL設(shè)備,然后使用硬編超級(jí)用戶密碼取得Root權(quán)限。

 上周,安全專家發(fā)現(xiàn)約10萬IP在不到三天時(shí)間瘋狂掃描存在漏洞的ZyXEL(合勤) PK5001Z路由器,斷定新型Mirai變種正在快速傳播。

PoC漏洞利用代碼發(fā)布成導(dǎo)火索

奇虎360網(wǎng)絡(luò)安全研究院(Netlab)安全研究員表示,發(fā)布在公共漏洞數(shù)據(jù)庫中的PoC漏洞利用代碼是這個(gè)僵尸網(wǎng)絡(luò)活動(dòng)激增的根本原因。PoC代碼發(fā)布時(shí)間為10月31日,并觸發(fā)了ZyXEL PK5001Z路由器中的漏洞——CVE-2016-10401(2016年1月被公開)。ZyXEL PK5001Z路由器使用的硬編超級(jí)用戶密碼(zyad5001)能用來提權(quán)至Root權(quán)限。

360網(wǎng)絡(luò)安全研究院指出,自2017-11-22 11:00開始,他們發(fā)現(xiàn)端口2323、端口23的掃描流量猛增,近10萬個(gè)來自阿根廷的IP在進(jìn)行瘋狂掃描。掃描活動(dòng)于2017-11-23白天達(dá)到峰值。

10萬“肉雞”組成的新型Mirai僵尸網(wǎng)絡(luò)變種來襲-E安全

經(jīng)調(diào)查后,研究人員認(rèn)為這是一個(gè)新型Mirai變種。360網(wǎng)絡(luò)安全研究院通過蜜罐發(fā)現(xiàn),最近有兩個(gè)Telnet憑證被頻繁使用:

admin/CentryL1nk;

admin/QwestM0dem。

PoC代碼使用這兩個(gè)憑證登錄了遠(yuǎn)程ZyXEL設(shè)備,然后使用硬編超級(jí)用戶密碼取得Root權(quán)限。
蜜罐發(fā)現(xiàn)的時(shí)間曲線與360NetworkScan Mon 系統(tǒng)掃描曲線比較一致,360NetworkScan Mon 系統(tǒng)與蜜罐發(fā)現(xiàn)的濫用IP來源存在重合:

admin/CentryL1nk : 1125個(gè)IP中748個(gè)重合,重合率66.5%

admin/QwestM0dem : 1694個(gè)IP中有1175個(gè)重合,重合率69.4%。

這說明,由10萬設(shè)備組成的僵尸Mirai僵尸網(wǎng)絡(luò)正在搜索存在漏洞的ZyXEL設(shè)備。其中6.57萬臺(tái)“肉雞”位于阿根廷,因?yàn)楫?dāng)?shù)豂SP Telefonica為設(shè)備提供了公開PoC中包含的默認(rèn)憑證。
安全研究人員Troy Mursch(特洛伊·莫爾什么)證實(shí),大多數(shù)掃描器IP來自阿根廷,準(zhǔn)確地說是來自阿根廷Telefonica的網(wǎng)絡(luò)。

10萬“肉雞”組成的新型Mirai僵尸網(wǎng)絡(luò)變種來襲-E安全

影響范圍

ZyXEL(合勤)為臺(tái)灣地區(qū)的企業(yè),為全球網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商,向企業(yè)用戶提供DSL 路由器等設(shè)備。因此臺(tái)灣地區(qū)很可能受此次漏洞影響。

使用ZyXEL PK5001Z路由器的用戶不用過分緊張。Mirai僵尸程序不具有持續(xù)機(jī)制,受感染的設(shè)備重啟時(shí)就能根除該程序。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)