新的 Mirai 僵尸网络变种

据 Palo Alto Network 的 Unit 42 网络安全团队的研究人员称，  Mirai 的一个新变体——用于发起大规模DDoS攻击的僵尸网络恶意软件——一直在瞄准连接到 Linux 服务器的物联网设备中的 13 个漏洞。

一旦易受攻击的设备被称为 V3G4 的变体破坏，它们就可以完全被攻击者控制并成为僵尸网络的一部分，能够用于进行进一步的活动，包括 DDoS 攻击。 

Unit 42 在其关于新变体的报告中表示：“这些漏洞的攻击复杂性低于之前观察到的变体，但它们仍然具有严重的安全影响，可能导致远程代码执行。”

[通过顶级安全认证提升您的职业生涯：它们的用途、成本以及您的需求。| 注册 CSO 时事通讯。]

Unit 42 表示，去年 7 月至 12 月期间，在三个活动中观察到 V3G4 活动。 

Lenovo Lnit2 E3-automation 全片 Conform-3 Hq Mp4 1280x720p

25分0秒，14秒成交量0%

据研究人员称，出于多种原因，所有这三个活动似乎都与同一个变体和 Mirai 僵尸网络相关联。他们指出，具有硬编码命令和控制 (C2) 基础设施（用于维持与受感染设备的通信）的域包含相同的字符串格式。此外，shell脚本下载方式相似，所有攻击使用的僵尸网络功能相同。

Code 42 表示，部署 V3G4 的威胁参与者利用了可能导致远程代码执行的漏洞。一旦执行，该恶意软件具有检查主机设备是否已被感染的功能。如果它已经被感染，它将退出设备。它还会尝试从硬编码列表中禁用一组进程，其中包括其他竞争性僵尸网络恶意软件系列。

V2G4 Mirai 变体如何工作

研究人员指出，虽然大多数 Mirai 变体使用相同的密钥进行字符串加密，但 V3G4 变体针对不同的场景使用不同的 XOR 加密密钥（XOR 是加密中经常使用的布尔逻辑运算）。V3G4 打包了一组默认或弱登录凭据，用于通过 Telnet 和 SSH 网络协议执行暴力攻击，并传播到其他机器。Unit 42表示，在此之后，它会与C2服务器建立联系，并等待接收对目标发起DDoS攻击的命令。 

V3G4 已利用漏洞，包括 Asterisk 通信服务器的 FreePBX 管理工具中的漏洞（漏洞CVE-2012-4869）；Atlassian Confluence ( CVE-2022-26134 )；Webmin 系统管理工具 ( CVE-2019-15107 )；DrayTek Vigor 路由器（CVE-2020-8515：和CVE-2020-15415）；和 C-Data Web 管理系统 ( CVE-2022-4257 )。

有关迄今为止观察到的被利用漏洞的完整列表、可检测和预防感染的网络安全软件的建议，以及用作危害指示的代码片段，请参阅 Palo Alto 的公告。Unit 42 团队还建议尽可能应用补丁和更新来修复漏洞。

Mirai 僵尸网络是如何发展起来的

在过去的几年里，Mirai 试图将触角伸向 SD-WAN，瞄准企业视频会议系统，并利用 Aboriginal Linux 感染多个平台。

Mirai 僵尸网络 是罗格斯大学本科生 Paras Jha 开发的一系列恶意软件包的迭代。Jha 以“Anna-Senpai”的名义将其发布在网上，并将其命名为 Mirai（日语中的“未来”）。僵尸网络封装了一些巧妙的技术，包括一系列硬编码密码。 

2016 年 12 月，Jha 及其同伙 对与 Mirai 攻击有关的罪行供认不讳 。但到那时，代码已经在野外，并被用作进一步僵尸网络控制器的构建块。 

这意味着任何人都可以使用它来尝试感染物联网设备并发起 DDoS 攻击，或者将这种能力卖给出价最高的人。许多网络犯罪分子已经这样做了，或者正在调整和改进代码以使其更难打击。

Mirai 的第一波攻击大潮出现在 2016 年 9 月 19 日，针对的是 法国主机 OVH。Mirai 还对 2016 年针对 DNS 提供商 Dyn 的 DDoS 攻击负责，该攻击涉及大约 100,000 台受感染的设备。结果，欧洲和北美的用户无法使用主要的互联网平台和服务。