【安全资讯】Mirai新变种针对SonicWall、D-Link和IoT设备
研究人员发现了Mirai僵尸网络的新变种,其针对的目标是未修补的D-Link、Netgear和SonicWall设备上的大量漏洞,以及未知物联网设备中新发现的漏洞。自2月16日以来,该变种针对六个已知漏洞,以及三个以往未知的漏洞,通过感染系统并将其添加到僵尸网络中。
Mirai变种所使用的已知漏洞如下:
SonicWall SSL-VPN利用;
D-Link DNS-320防火墙利用(CVE-2020-25506);
Yealink设备管理远程代码执行(RCE)(CVE-2021-27561和CVE-2021-27562);
Netgear ProSAFE Plus RCE漏洞(CVE-2020-26919);
Micro Focus Operation Bridge Reporter(CVE-2021-22502)中的RCE缺陷;
Netis WF2419无线路由器漏洞利用(CVE-2019-19356 );
初步漏洞利用后,将会调用wget程序(从web服务器检索内容的合法程序),以便从恶意软件的基础设施下载shell脚本。shell脚本会下载几个Mirai二进制文件并逐个执行。
下载的二进制文件包括lolol.sh、 install.sh和dark.[arch]。
lolol.sh:具有多种功能,包括从目标计算机上删除密钥文件夹;创建数据包过滤器规则以禁止针对常用的SSH,HTTP和telnet端口的传入流量;创建计划任务定时运行lolol.sh脚本。
install.sh:下载各种文件和软件包,包括GoLang v1.9.4,“ nbrute(对各种凭据进行暴力破解)”二进制文件和combo.txt(大量凭据字典)文件。
dark.[arch]:基于Mirai代码库,主要用于传播,通过漏洞利用或使用文件中的硬编码凭据的蛮力SSH连接实现传播。
用户可以通过修复漏洞避免感染。