名为 Persirai 的 Bot-herding 软件结合了Mirai 僵尸网络代码,可以征用已知 150,000 个易受 Mirai 攻击的 IP 摄像机的重要部分,并使用它们来发起分布式拒绝服务攻击。
据Trend Micro 的研究人员称, Persirai 僵尸网络已经攻击了至少四个目标,并且以可预测的模式开始。
Persirai 利用摄像头中的已知漏洞来感染它们,让它们从命令和控制服务器下载恶意软件,然后让它们感染其他易受攻击的摄像头或发起 DDoS 攻击。“根据研究人员的观察,一旦受害者的 IP 摄像头收到 C&C 命令(每 24 小时在 UTC 时间下午 12:00 发生),DDoS 攻击就会开始,”研究人员说。
他们说他们已经确定了至少四名 DDoS 攻击的受害者,但不能透露他们是谁。
下载恶意软件后,它会在内存中运行并从硬盘驱动器中删除自身,Trend 说,因此如果设备重新启动,它们就会摆脱感染。因此,攻击者不断寻找和重新感染相机。
Trend 表示,由多家制造商生产的 1,000 多种独立相机型号容易受到攻击。“在最初发现时,大约在 4 月的第一周和第二周,僵尸网络使用了大约 150,000 个摄像头,”研究人员说。“然而,最新结果显示,截至 5 月 10 日,约有 99,000 人。” 物联网搜索引擎 Shodan 将大约 120,000 个摄像头识别为易受攻击的。
根据 Trend 的说法,这可能暗示了谁编写了 Persirai:“我们发现 C&C 服务器使用了 .IR 国家/地区代码。该特定国家/地区代码由伊朗研究机构管理,仅限伊朗人使用。我们还发现了恶意软件作者使用的一些特殊波斯字符。”
独立研究员 Pierre Kim 详细说明了Persirai 如何进入相机。“‘云’协议仅使用目标摄像机的序列号在攻击者和摄像机之间建立明文 UDP 隧道(以绕过 NAT 和防火墙)。然后,攻击者可以自动暴力破解摄像机的凭据,”他写道。
Kim 表示,该漏洞存在于 1,250 款相机型号中,这些型号均基于为销售它们的各个品牌提供 OEM 的硬件。“因此,相机以不同的名称、品牌和功能出售,”Kim 写道。“每个供应商的 HTTP 接口都不同,但具有相同的漏洞。OEM 供应商使用自定义版本的 GoAhead [嵌入式 Web 服务器],并在其中添加了易受攻击的代码。”
Alien Vault在此张贴 Persirai 合并了一些 Mirai 代码。“这个僵尸网络借鉴了 Mirai 的端口扫描模块等部分代码,但在感染链、C2 通信协议、攻击模块等方面与 Mirai 完全不同。尽管 Mirai 提到了二进制名称,但将其视为 Mirai 变体可能并不明智,” Alien Vault 说。
Kim 有这样的建议:“我建议立即将摄像头与互联网断开连接。”
这个故事,“另一个嵌入了 Mirai 碎片的物联网僵尸网络可以从 10 万台设备执行 DDoS”,最初由Network World发表 。