區(qū)塊鏈安全咨詢公司 曲速未來 消息：Mirai和Gafgyt是兩個最著名的物聯(lián)網(wǎng)僵尸網(wǎng)絡，它們再次分叉，新的變種在企業(yè)部門偷看，用于創(chuàng)建或補充他們的分布式攻擊的拒絕服務資源。

Mirai活動正在增加：運營Mirai追蹤器的美國安全研究員Troy Mursch曾講過，Sora并不是唯一一個看到復蘇的人，并且Mirai攻擊的數(shù)量一直在穩(wěn)步增加。

1.從今年到目前為止，已經(jīng)從86,063個獨特的源IP中觀察到與Mirai類似簽名匹配的傳入流量。

2.峰值于6月開始。就有類似的觀察。

“即使設備重新啟動，它們也會再次成為新的目標，因為潛在的漏洞永遠不會被修補，”Mursch說，指出了對沒有安全補丁的過時設備的指責。

在此之前，Mirai將繼續(xù)困擾物聯(lián)網(wǎng)場景和整個互聯(lián)網(wǎng)。

幾年前，兩種惡意軟件的代碼都進入了公共空間，有抱負的網(wǎng)絡犯罪分子開始催生他們自己的版本。

大多數(shù)時候，這些突變并沒有什么有趣之處，但最新的替代品顯示出對商業(yè)設備的偏愛。

據(jù)有報告顯示，新的Mirai和Gafgyt增加了他們利用一些舊漏洞的漏洞利用代碼庫。

Mirai現(xiàn)在的目標是運行未修補的Apache Struts的系統(tǒng)，這個版本在去年的Equifax漏洞中遭到攻擊。（Equifax是美國最大的消費者信用報告和其他金融服務提供商之一，當時表示，它是攻擊的受害者，在那期間，攻擊者對超過1.43億客戶的細節(jié)進行了抨擊。）CVE-2017-5638已經(jīng)修復了一年多，但除非它被徹底根除，否則網(wǎng)絡犯罪分子將有盡可能多的理由將它添加到他們的技巧庫中，因為有些設備可以使用它。

Mirai包中的漏洞利用數(shù)量現(xiàn)已達到16個。其中大部分都是為了破壞路由器，NVR，攝像機和DVR等連接設備。

Gafgyt，也稱為Baslite，通過在SonicWall的全球管理系統(tǒng)（GMS）的不受支持的版本中針對新發(fā)現(xiàn)的漏洞（CVE-2018-9866，具有完美的嚴重性評分）來查看業(yè)務設備。

在針對此漏洞發(fā)布Metasploit模塊后不到一周，第42單元在8月5日發(fā)現(xiàn)了新樣本。

感染Gafgyt的設備可以掃描其他成熟的設備，以便妥協(xié)并提供適當?shù)睦谩阂廛浖写嬖诘牧硪粋€命令是發(fā)起B(yǎng)lacknurse攻擊：一種影響CPU負載的低帶寬ICMP攻擊，能夠?qū)Ρ娝苤姆阑饓M行拒絕服務。

兩個新變種背后的威脅演員相同

如果新Mirai和Gafgy所針對的系統(tǒng)類型只暗示同一個演員在他們后面，安全研究人員發(fā)現(xiàn)了證據(jù)：兩個樣本都托管在同一個域中。

8月，該域名解析為不同的IP地址，間歇性地托管了Gafgyt利用SonicWall錯誤的樣本。

Apache Struts利用多漏洞Mirai變種

在新變種中針對Apache Struts的攻擊找到了目標CVE-2017-5638，這是一個通過精心設計的Content-Type，Content-Disposition或Content-Length HTTP標頭的任意命令執(zhí)行漏洞。其格式下圖所示，有效負載突出顯示。

圖4.CVE-2017-5638漏洞利用格式

SonicWall GMS利用Gafgyt變體

漏洞攻擊所針對的漏洞CVE-2018-9866源于缺乏對set_time_config方法的XML-RPC請求的清理。如下圖顯示了示例中使用的漏洞，其中突出顯示了有效負載。

圖5.SonicWall set_time_config RCE格式

在針對此漏洞發(fā)布Metasploit模塊后不到一周，這些樣本首次出現(xiàn)在8月5日。然而所發(fā)現(xiàn)的樣本是使用Gafgyt代碼庫而不是Mirai構(gòu)建的。

區(qū)塊鏈安全咨詢公司 曲速未來 表示：通過這些物聯(lián)網(wǎng)/ Linux僵尸網(wǎng)絡將針對Apache Struts和SonicWall的攻擊結(jié)合起來可能表明從消費者設備目標到企業(yè)目標的更大變動。

本文內(nèi)容由 曲速未來安全咨詢公司編譯，轉(zhuǎn)載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關區(qū)塊鏈安全咨詢服務。