于PST于2019年8月27日晚上8:52更新,以添加解决方案规则。
发现了另一个Mirai分支:发现了Echobot僵尸网络的一个变体,使用了50多种漏洞,导致远程代码执行(RCE),任意命令执行和物联网(IoT)设备中的命令注入。
安全研究员卡洛斯·布伦德尔·阿尔卡尼兹(Carlos BrendelAlcañiz)首先在推文中介绍了该变种用于传播的各种漏洞。 恶意软件丢弃的有效负载表明,该变体背后的操作员依赖于古老的已知漏洞,其中一些可追溯到2010年。此外,所使用的代码可在多个公共漏洞库中找到。
据报道,该恶意软件删除程序托管在打开的服务器上,该文件名为 Richard。 特别值得注意的是,该变体所使用的漏洞并未针对特定类型的产品或设备。 BleepingComputer列出了该变体可能影响的广泛设备,包括网络连接存储(NAS)设备,路由器,安全摄像机,智能家居集线器。 此处列出了此特定Echobot变体使用的漏洞利用的完整列表。
[相关趋势微研究:Mirai变体结合了13种利用方法]
有效载荷的数量可能很高,但是鉴于Mirai恶意软件的源代码在2016年被泄露,这不足为奇。恶意软件作者此后针对危害许多联网设备的广告活动提出了不同的变体和派生版本, 通常是通过默认或薄弱的凭据。
Echobot由Palo Alto Networks研究人员发现,最初发现它使用18种攻击,随后是Akamai报告,描述了它包含26种攻击。 趋势科技还报告了一种针对Echobot的变种,该变种针对具有多种漏洞利用的路由器和其他IoT设备。 该特定变体利用了多个可公开获得的概念证明(PoC)和metasploit模块。
[阅读:Mirai变体针对具有多种漏洞利用的路由器和其他IoT设备]
针对Mirai及其分支保护已连接的设备
自2016年发现以来,恶意软件作者就一直在臭名昭著的IoT恶意软件上大放异彩。此后,许多僵尸网络逐渐涌入攻击设备,并且这种情况很可能会持续下去。 基于过去的相关恶意活动,黑客通常依靠攻击未打补丁的设备以及使用默认设置和凭据的设备。 尽管设备制造商在保护设备安全中扮演着重要角色,但用户和企业也应采用最佳实践来提供额外的保护,例如: 定期更新设备并更改访问凭据 配置路由器的设置以阻止潜在的入侵 禁用过时和未使用的设备组件 如果设备允许,则启用自动更新功能 加密设备使用的连接 集成了安全工具,可为家庭网络和与其连接的设备提供额外的保护 仅使用来自可信来源和商店的合法应用程序
[安全101:保护无线网络免遭黑客入侵和窃听]
除了上述最佳实践之外,用户还可以采用全面的保护措施,例如趋势科技™安全性和趋势科技™互联网安全性解决方案,这些解决方案通过可以在端点级别检测到恶意软件的功能,为防止物联网设备受到威胁提供了有效的防护措施。 。 所连接的设备还可以通过诸如趋势科技™家庭网络安全和趋势科技智能家庭网络™(SHN)解决方案之类的安全软件进行保护,这些软件可以检查路由器与所有连接的设备之间的互联网流量。 趋势科技威胁发现设备可以检测所有端口和网络协议是否受到高级威胁,并保护企业免受针对性攻击。 趋势科技智能家居网络解决方案的用户可以免受特定漏洞的攻击 以及通过以下规则进行的相关攻击: 1057889 WEB D-link设备UPnP SOAP命令执行(BID-61005) 1057915 WEB阿尔卡特朗讯OmniPCX企业远程命令执行(CVE-2007-3010) 1059405 WEB Fritz Box网络摄像头未经身份验证的命令注入(BID-65520) 1059614 SIP Yealink VoIP电话SIP-T38G-远程命令执行(CVE-2013-5758) 1059700 WEB Rocket Servergraph管理中心文件请求程序运行并运行清除命令执行-1(CVE-2014-3914) 1110349 WEB HP OpenView网络节点管理器远程命令执行(CVE-2005-2773) 1133310 WEB Netgear R7000命令注入-1.1(CVE-2016-6277) 1133322 WEB op5监视器command_test.php命令注入-1 1133323 WEB op5监视器command_test.php命令注入-1 1133324 WEB op5监视器command_test.php命令注入-1 1133419 WEB Netgear R7000命令注入-1.2(CVE-2016-6277) 1133643 WEB WePresent WiPG-1000命令注入 1133855 WEB GoAhead IPCam远程执行代码-2.1 1134286 WEB Realtek SDK Miniigd UPnP SOAP命令执行(CVE-2014-8361) 1134934 WEB VMware NSX SD-WAN Edge命令注入-1(CVE-2018-6961) 1134935 WEB VMware NSX SD-WAN Edge命令注入-2(CVE-2018-6961) 1134936 Web ASUSTOR ADM 3.1.0.RFQ3-远程命令执行(CVE-2018-11510) 1135137 WEB Homematic CCU2 2.29.23远程命令执行(CVE-2018-7297) 1135388 WEB NUUO NVRmini upgrade_handle.php远程命令执行(CVE-2018-14933)远程命令执行(CVE-2018-14933) 1135454 WEB LG SuperSign EZ CMS 2.5远程执行代码(CVE-2018-17173) 1135463 WEB Belkin Wemo UPnP远程执行代码 1135485 WEB Netgear ReadyNAS监视和NUUO NVRMini远程命令执行(CVE-2018-15716) 1135486 WEB linksys WAP54Gv3远程调试根外壳 1135577 WEB Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0远程执行代码-2(CVE-2019-2725) 1135581 WEB Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0远程执行代码-2(CVE-2019-2725) 1135582 WEB Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0远程执行代码-2(CVE-2019-2725) 1135641 WEB华硕DSL-N12E_C1 1.1.2.3_345-远程命令执行-1.1(CVE-2018-15887) 1135643 WEB华硕DSL-N12E_C1 1.1.2.3_345-远程命令执行-1.2(CVE-2018-15887) 1135647 ICS Schneider Electric U.Motion Builder 1.3.4未经身份验证的命令注入(CVE-2018-7841) 1135656 WEB Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0远程执行代码-2(CVE-2019-2725) 1135657 WEB Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0远程执行代码-2(CVE-2019-2725)
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
