5月12日訊 Persirai控制眾多存在安全缺陷之IP攝像頭。一款名為Persirai的僵尸網(wǎng)絡構建軟件再次掀起波瀾,其采用部分Mirai僵尸網(wǎng)絡(去年十月披露)代碼片段,已將高達15萬可被Mirai入侵的臺IP攝像頭收入自身麾下,并利用其發(fā)動大規(guī)模分布式拒絕服務攻擊。
Persirai僵尸網(wǎng)絡至少已經(jīng)向四大目標發(fā)動攻勢,而Trend Micro公司的研究人員則開始從中找到一種可預測模式。
【物聯(lián)網(wǎng)預警】全球不同廠商1250種型號的攝像頭存在共同漏洞-E安全
Persirai僵尸網(wǎng)絡感染方式
Persirai利用一項已知安全漏洞對各攝像頭進行感染,引導其通過某臺命令與控制服務器下載惡意軟件,而后利用這些設備感染其它攝像頭或者發(fā)動DDoS攻擊。
研究人員們表示,“根據(jù)觀察結果,一旦受害者的IP攝像頭收取到準時于每天午夜12點發(fā)出的命令與控制指令,DDoS攻擊即宣告開始。”目前至少已經(jīng)有四位受害者遭遇相關DDoS攻擊的侵擾,但他們不方便透露其具體身份。
Persirai僵尸網(wǎng)絡能夠通過UDP洪水發(fā)動DDoS攻擊并且在不欺騙IP地址的情況下通過SSDP包發(fā)動攻擊。
Persirai在易受攻擊的設備上執(zhí)行,即在惡意軟件下載完成后,會自動將磁盤上的保存痕跡徹底刪除,然后只在內存中運行。由于惡意代碼在內存中運行,因此重啟還會讓設備更易受到攻擊。
有趣的是,Trend公司研究人員表示,受感染 IP 攝像機還將遠程報告給 C&C 服務器、接受命令并自動利用近期公布的 0day 漏洞防御其他黑客再度攻擊已被感染的 IP 攝像機,從而獲得用戶密碼文件并執(zhí)行命令注入。
奇怪:被感染設備數(shù)量在減少
Trend公司認為,目前來自多家制造商的超過1000種型號的攝像頭易受到攻擊威脅。研究人員同時表示,今年4月前兩周在進行初始調查時,該僵尸網(wǎng)絡當時就已經(jīng)感染了約15萬臺攝像頭。但在5月10日最新調查后發(fā)現(xiàn),其感染量為9萬9千臺。另外,通過物聯(lián)網(wǎng)搜索引擎Shodan發(fā)現(xiàn),約有12萬臺攝像頭易受到攻擊影響。多數(shù)受害者未能察覺自身設備已經(jīng)暴露于互聯(lián)網(wǎng)之中。
【物聯(lián)網(wǎng)預警】全球不同廠商1250種型號的攝像頭存在共同漏洞-E安全
根據(jù)Trend方面的判斷,發(fā)現(xiàn)其命令與控制服務器當中使用了.IR國家碼,其中可能暗含著與Persirai編寫者相關的線索。這條國家碼由健康研究機構負責管理,并確保僅供伊朗人使用。我們還發(fā)現(xiàn)惡意軟件作者在編寫中使用了部分特殊的波斯語字符。”
獨立研究人員皮埃爾·基姆(Pierre Kim)闡述了Persirai如何入侵攝像頭。“首先由‘云’協(xié)議利用目標攝像頭的產(chǎn)品序列號在攻擊者與攝像頭間建立起明文UDP通道(旨在繞過NAT及防火墻)。在此之后,攻擊者即可通過自動方式暴力破解攝像頭憑證。”
根源:內置Mirai片段
基姆同時解釋稱,這項漏洞存在于總計1250種型號的攝像頭之內,且涵蓋眾多廠商及品牌。
攻擊者能通過TCP端口81輕易訪問設備的web接口。由于互聯(lián)網(wǎng)攝像頭一般使用的是UPnP協(xié)議,設備能夠打開路由器上的一個端口并起到服務器的作用,因此它們是物聯(lián)網(wǎng)惡意軟件非常容易發(fā)現(xiàn)的目標。通過訪問這些設備易受攻擊的接口,攻擊者能夠注入命令強制設備連接至某個站點,并下載執(zhí)行惡意shell腳本。
“因此,盡管各款攝像頭擁有不同的產(chǎn)品名稱、品牌與功能,且各供應商使用的HTTP接口有所區(qū)別,但其仍然共享有同樣的漏洞。OEM廠商使用了GoAhead(一款嵌入式Web服務器)的定制化版本,并向其中添加了易受攻擊的代碼片段。”
Alien Vault則發(fā)現(xiàn)Persirai當中包含部分Mirai代碼。即此僵尸網(wǎng)絡借用了來自Mirai的部分代碼,例如端口掃描模塊,但在感染鏈、C2通信協(xié)議以及攻擊模塊方面則完全不同。盡管直接借用了Mirai中的部分二進制名稱,但E安全小編建議不應簡單將其視為Mirai的變體。”
除此之外,E安全小編強烈建議大家立即斷開攝像頭與互聯(lián)網(wǎng)間的連接。