【安全资讯】Mirai新变种针对SonicWall、D-Link和IoT设备

研究人员发现了Mirai僵尸网络的新变种，其针对的目标是未修补的D-Link、Netgear和SonicWall设备上的大量漏洞，以及未知物联网设备中新发现的漏洞。自2月16日以来，该变种针对六个已知漏洞，以及三个以往未知的漏洞，通过感染系统并将其添加到僵尸网络中。

Mirai变种所使用的已知漏洞如下：

    SonicWall SSL-VPN利用；

    D-Link DNS-320防火墙利用（CVE-2020-25506）;

    Yealink设备管理远程代码执行（RCE）（CVE-2021-27561和CVE-2021-27562）；

    Netgear ProSAFE Plus RCE漏洞（CVE-2020-26919）;

     Micro Focus Operation Bridge Reporter（CVE-2021-22502）中的RCE缺陷；

    Netis WF2419无线路由器漏洞利用（CVE-2019-19356 ）；

初步漏洞利用后，将会调用wget程序（从web服务器检索内容的合法程序），以便从恶意软件的基础设施下载shell脚本。shell脚本会下载几个Mirai二进制文件并逐个执行。

下载的二进制文件包括lolol.sh、 install.sh和dark.[arch]。

lolol.sh：具有多种功能，包括从目标计算机上删除密钥文件夹；创建数据包过滤器规则以禁止针对常用的SSH，HTTP和telnet端口的传入流量；创建计划任务定时运行lolol.sh脚本。

install.sh：下载各种文件和软件包，包括GoLang v1.9.4，“ nbrute（对各种凭据进行暴力破解）”二进制文件和combo.txt（大量凭据字典）文件。

dark.[arch]：基于Mirai代码库，主要用于传播，通过漏洞利用或使用文件中的硬编码凭据的蛮力SSH连接实现传播。

用户可以通过修复漏洞避免感染。