5月12日讯 Persirai控制众多存在安全缺陷之IP摄像头。一款名为Persirai的僵尸网络构建软件再次掀起波澜,其采用部分Mirai僵尸网络(去年十月披露)代码片段,已将高达15万可被Mirai入侵的台IP摄像头收入自身麾下,并利用其发动大规模分布式拒绝服务攻击。
Persirai僵尸网络至少已经向四大目标发动攻势,而Trend Micro公司的研究人员则开始从中找到一种可预测模式。
【物联网预警】全球不同厂商1250种型号的摄像头存在共同漏洞-E安全
Persirai僵尸网络感染方式
Persirai利用一项已知安全漏洞对各摄像头进行感染,引导其通过某台命令与控制服务器下载恶意软件,而后利用这些设备感染其它摄像头或者发动DDoS攻击。
研究人员们表示,“根据观察结果,一旦受害者的IP摄像头收取到准时于每天午夜12点发出的命令与控制指令,DDoS攻击即宣告开始。”目前至少已经有四位受害者遭遇相关DDoS攻击的侵扰,但他们不方便透露其具体身份。
Persirai僵尸网络能够通过UDP洪水发动DDoS攻击并且在不欺骗IP地址的情况下通过SSDP包发动攻击。
Persirai在易受攻击的设备上执行,即在恶意软件下载完成后,会自动将磁盘上的保存痕迹彻底删除,然后只在内存中运行。由于恶意代码在内存中运行,因此重启还会让设备更易受到攻击。
有趣的是,Trend公司研究人员表示,受感染 IP 摄像机还将远程报告给 C&C 服务器、接受命令并自动利用近期公布的 0day 漏洞防御其他黑客再度攻击已被感染的 IP 摄像机,从而获得用户密码文件并执行命令注入。
奇怪:被感染设备数量在减少
Trend公司认为,目前来自多家制造商的超过1000种型号的摄像头易受到攻击威胁。研究人员同时表示,今年4月前两周在进行初始调查时,该僵尸网络当时就已经感染了约15万台摄像头。但在5月10日最新调查后发现,其感染量为9万9千台。另外,通过物联网搜索引擎Shodan发现,约有12万台摄像头易受到攻击影响。多数受害者未能察觉自身设备已经暴露于互联网之中。
【物联网预警】全球不同厂商1250种型号的摄像头存在共同漏洞-E安全
根据Trend方面的判断,发现其命令与控制服务器当中使用了.IR国家码,其中可能暗含着与Persirai编写者相关的线索。这条国家码由健康研究机构负责管理,并确保仅供伊朗人使用。我们还发现恶意软件作者在编写中使用了部分特殊的波斯语字符。”
独立研究人员皮埃尔·基姆(Pierre Kim)阐述了Persirai如何入侵摄像头。“首先由‘云’协议利用目标摄像头的产品序列号在攻击者与摄像头间建立起明文UDP通道(旨在绕过NAT及防火墙)。在此之后,攻击者即可通过自动方式暴力破解摄像头凭证。”
根源:内置Mirai片段
基姆同时解释称,这项漏洞存在于总计1250种型号的摄像头之内,且涵盖众多厂商及品牌。
攻击者能通过TCP端口81轻易访问设备的web接口。由于互联网摄像头一般使用的是UPnP协议,设备能够打开路由器上的一个端口并起到服务器的作用,因此它们是物联网恶意软件非常容易发现的目标。通过访问这些设备易受攻击的接口,攻击者能够注入命令强制设备连接至某个站点,并下载执行恶意shell脚本。
“因此,尽管各款摄像头拥有不同的产品名称、品牌与功能,且各供应商使用的HTTP接口有所区别,但其仍然共享有同样的漏洞。OEM厂商使用了GoAhead(一款嵌入式Web服务器)的定制化版本,并向其中添加了易受攻击的代码片段。”
Alien Vault则发现Persirai当中包含部分Mirai代码。即此僵尸网络借用了来自Mirai的部分代码,例如端口扫描模块,但在感染链、C2通信协议以及攻击模块方面则完全不同。尽管直接借用了Mirai中的部分二进制名称,但E安全小编建议不应简单将其视为Mirai的变体。”
除此之外,E安全小编强烈建议大家立即断开摄像头与互联网间的连接。
本文转自d1net(转载)