记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Mirai变种加入8个漏洞利用,攻击iot设备

摘要Palo Alto Networks Unit 42研究人员自2016年开始就一直在持续关注Mirai恶意软件。近期,研究人员发现了Mirai恶意软件的一个新变种,其中加入了8个新的漏洞利用攻击目标还是嵌入式设备。新目标的范围涵盖无线投影系统、机顶盒、SD-WAN、智能家控制器等等。Mirai最迟使用默认凭证来获取对设备的访问权。从2017年底开始,该恶意软件家族样本开始使用公开的漏洞利用来在有漏洞的设备上传播和与运行。2018年的攻击活动中也有变种不断加入新的漏洞利用,将不同种类的IoT设备加入到僵尸网络中。从那时起,研究人员发现Mirai恶意软件作者在不断测试新的漏洞利用。最新的Mirai变种中就延续了这一趋势
发布时间:2019-06-11 12:25 | 阅读:43897 | 评论:0 | 标签:漏洞 Mirai

发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备

概述近期,我们发现了Mirai的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),该后门程序总共利用了13种不同的漏洞,几乎所有漏洞都在之前与Mirai相关的攻击中使用过。这是典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这一变种是我们首次发现在单起恶意活动中同时使用13个漏洞利用的案例。本次攻击发生在我们上次报道Mirai活动的几周后,当时该恶意软件针对各种路由器发动攻击。该变种也使用了在先前攻击中使用过的一些漏洞利用。新的Mirai变种我们最初发现这一Mirai新变种,是来源于我们部署的一个蜜罐,该蜜罐用于发现与物联网(IoT)相关的攻击。随着我们对这一恶意软件进行详细分
发布时间:2019-05-27 12:25 | 阅读:46431 | 评论:0 | 标签:恶意软件 Mirai 漏洞

恶意软件也有漏洞,Mirai C2奔溃分析

简介与其他代码一样,恶意软件也会存在漏洞。事实上,大多数恶意软件并不会进行质量控制,所以存在漏洞的概率更大。本文介绍Mirai代码中的一个小bug,该漏洞存在于多个变种中。其他攻击者可以利用该漏洞来破坏C2服务器。漏洞利用当用户名是1025+ "a"字符序列时Mirai服务器会奔溃当有用户连接到Mirai C2服务器时,会要求输入用户名和密码来进行认证。如果用户在用户名处输入1025+字符串时,C2服务器可能会奔溃,如上图所示。下面分析奔溃的原因,首先解释一个简单程序,然后分析Mirai。编程风格很差的程序下图是用GO语言编写的程序,功能是输入name并打印出来。该程序首先将name保存为字符串,然
发布时间:2019-05-10 12:25 | 阅读:44337 | 评论:0 | 标签:漏洞 Mirai

​新Mirai Variant瞄准企业无线演示和显示系统

简介2019年1月初,Unit 42发现了臭名昭著的IoT / Linux僵尸网络Mirai的一个新版本。Mirai最出名的是在2016年,用于大规模、前所未有的DDoS攻击。一些最著名的目标包括:网络托管服务提供商OVH,DNS提供商Dyn和Brian Krebs的网站。Unit 42发现的这一新变种值得注意的是它针对不同的嵌入式设备,如路由器、网络存储设备、NVR和IP摄像机,并使用大量漏洞攻击它们。特别是,Unit 42发现了该变种针对WePresent WiPG-1000无线演示系统和LG Supersign电视。这两种设备都适用于企业。这一发展向我们表明了将Mirai用于企业目标的潜在转变。之前我们观察僵尸网
发布时间:2019-03-26 12:20 | 阅读:52209 | 评论:0 | 标签:Web安全 Mirai

Mirai:不仅仅针对物联网

简介Bot开发人员从开发物联网(IoT)恶意软件中吸取了教训,并将重点转向商用Linux服务器。与许多物联网设备一样,互联网上也存在大量未修补漏洞的Linux服务器,攻击者向可以找到的每个存在漏洞的服务器发起攻击,并大规模滥用。ASERT在自己的蜜罐网络中监控Hadoop YARN漏洞的利用,并发现了一个熟悉但令人惊讶的载荷 – Mirai。这些版本的Mirai与原版非常相像,但可以在Linux服务器上运行,而不是功能不足的物联网设备。虽然ASERT之前已经发布了Windows Mirai的观察报告,但这是我们第一次在野外看到非IoT Mirai。要点· 针对Linux服务器的Mirai
发布时间:2018-11-30 12:21 | 阅读:80059 | 评论:0 | 标签:Web安全 Mirai

七个新的Mirai变种及其幕后黑手

2016年9月,Twitter,CNN,Spotify以及许多其他网站被历史上最大的DDoS击败。现在我们知道它的名字叫Mirai,但当时没有人会想到该攻击来自由一群物联网(IoT)设备拼凑而成的一个僵尸网络。Mirai于2016年8月由MalwareMustDie研究人员发现。虽然它不是第一个被发现的物联网恶意软件,但肯定是最突出的。在美国东海岸大面积断网之后,自称为Anna-Senpai的恶意软件创建者发布了源代码,事情变得更加糟糕。从那时起,全世界有动机的黑客都将它作为一个框架来创建自己的僵尸网络。最后,原始恶意软件的创建者被逮捕并在法庭上认罪,但代码发布的影响大大加快了僵尸网络的创建。新的变种开始出现,增加了新
发布时间:2018-10-31 12:20 | 阅读:69296 | 评论:0 | 标签:Web安全 Mirai

Mirai僵尸网络案件告破 FBI公开致谢中国安全企业

去年,全球首次因大规模物联网设备僵尸网络的攻击,导致美国东海岸断网,严重影响当地人民生活秩序和社会稳定。最近,美国阿拉斯加州安克雷奇市的FBI官方推特公布案件告破,三名嫌疑人承认开发了造成去年10月“美国断网事件”的Mirai僵尸网络工具,并向360、AT&T、Dyn、Paterva、PayPal和ShadowServer六家协助FBI破获Mirai攻击事件的机构公开致谢。史上最强僵尸网络:Mirai险些搞砸美国大选! Mirai事件最初要追溯到2016年8月初,距离大选还剩约100天的美国,竞选活动正如火如荼地进行,最新民调显示两党支持率旗鼓相当,虽然两位总统时不时被黑客曝出一些黑料,但谁也想不到,一场大规模的网络攻击正在酝酿中。几乎是同一时间,8月1日的北京,360网络安全研究院的蜜罐系统
发布时间:2017-12-16 05:25 | 阅读:133552 | 评论:0 | 标签:牛闻牛评 360 FBI Mirai 僵尸网络

Mirai幕后三名元凶认罪服法

三名黑客承认去年击垮美国一半互联网的Mirai僵尸网络的工具是他们开发的。21岁的Paras Jha,接受对其的多项指控,包括建立和运营Mirai僵尸网络。他的同伙 Dalton Norman(21岁)和 Josiah White(20岁)承认同谋,违反《计算机欺诈与滥用法案》。Jha承认写了Mirai的源代码,并用以发动攻击和在线欺诈。Norman承认帮助书写了Mirai代码,以及点击欺诈和在线攻击。但有一点需要要注意,这三名嫌疑人均非去年让美国半个互联网倒下的直接责任人,三人的初始动机是攻击在线游戏《我的世界》(Minecraft)的服务器。安全博客写手 Brian Krebs 在今年1月份,首先确认了Jha和White的身份,并发现了他们对《我的世界》这款游戏的关注。White在法庭上表示,他在2016年
发布时间:2017-12-14 20:35 | 阅读:106603 | 评论:0 | 标签:牛闻牛评 Mirai 僵尸网络 服法

Mirai,Mirai告诉我,谁是世界上最大的僵尸网络?

去年干掉Dyn让全球多家大型网站无法访问的DDoS攻击始作俑者——Mirai僵尸网络,至今依然逍遥法外。据Dyn公司估测,2016年10月致其服务中断的DDoS攻击中,至少涉及了10万台被Mirai感染的设备。11月7号,安全评级公司SecurityScorecard发布一份研究结果,称即便在面世1年之后,Mirai僵尸网络感染依然广泛。2017年7月到9月间,SecurityScorecard在公网上发现34,062个IPv4地址,呈现出被Mirai物联网(IoT)恶意软件感染的嵌入式设备所表现出的症状。而2016年8月1日到2017年7月31日的1整年间,感染Mirai IoT恶意软件的IoT设备IPv4地址数量为184,258个。即便该僵尸网络更小更分散,依然对互联网安全产生了威胁。其他安全专家也赞同该评
发布时间:2017-11-09 14:55 | 阅读:125330 | 评论:0 | 标签:威胁情报 IoT安全 Mirai 僵尸网络

Mirai再升级 新僵尸网络感染设备已达200万台

近日,360安全研究人员发现一个新的IoT僵尸网络,并将其命名为“IoT_reaper”。据悉,该僵尸网络利用路由器、摄像头等设备的漏洞,将僵尸程序传播到互联网,感染并控制大批在线主机,从而形成具有规模的僵尸网络。截至目前,IoT_reaper感染量达到近200万台设备,且每天新增感染量达2300多次。 据了解,该恶意程序脱胎于此前曾导致美国断网的僵尸网络Mirai,但比Mirai的感染途径更广,如果照目前速度继续肆意扩张,其造成的后果将不堪设想。广大用户应及时为IOT设备升级版本,增强设备密码,关闭共享端口,避免被此类僵尸网络感染。僵尸网络危害极大 曾使美国网络瘫痪所谓僵尸网络,就是攻击者通过各种途径传播僵尸程序,并感染互联网上的大量主机。被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸
发布时间:2017-10-28 01:00 | 阅读:133340 | 评论:0 | 标签:威胁情报 IoT安全 Mirai 僵尸网络 安全漏洞

Mirai代码及原理分析

阅读: 0Mirai代码及原理分析查看跟过内容,请下载附件Mirai代码及原理分析文章目录声 明关于绿盟科技附件下载声 明本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。关于绿盟科技北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、
发布时间:2017-06-27 06:35 | 阅读:179086 | 评论:0 | 标签:安全分享 Mirai Mirai 变种 Mirai事件 Mirai源码 Mirai源码分析

Hajime样本技术分析报告

阅读: 299随着科技的迅速发展,物联网设备的数量也随着增多。当这些先进的设备给人们提供方便的同时,也伴随着一些安全隐患。这给不法分子带来了庞大的市场,都想从中获得巨大的利益。就在大家所熟知的Mirai一统江湖的时候,一个名叫Hajime的新面孔粉墨登场并占领大量市场。文章目录综述执行概要行为说明感染阶段DHT 下载器初始化主要的操作逻辑Hajime的目的与Mirai的区别攻击定位检测方法总结附录声 明关于绿盟科技综述Hajime与Mirai相似,远程登录处于打开的端口并使用默认的用户名和密码进行登录。不同的是Hajime建立在一个点对点的网络上,通过控制器将命令模块传播到对应的端点,使其控制的网络更加稳定,并且可以随时添加新的功能。执行概要Hajime通过扫描随机 IP的23端口(telnet端口),一旦发现
发布时间:2017-05-09 00:55 | 阅读:242001 | 评论:0 | 标签:安全报告 Hajime Hajime 扫描 Hajime样本 分析 Hajime样本技术分析报告 iptables设置网

两大物联网恶意软件为了争夺僵尸网络打起来了

Mirai,因其无人能及的物联网设备感染能力而声名狼藉,如今,它有了一个势均力敌的对手。 根据安全研究人员观测,一种新出现的恶意程序正在大肆感染防护弱的物联网设备,其感染能力甚至超越了Mirai。 BackConnect(一家提供反DDoS攻击服务的厂商)的首席技术官Marshal Webb表示:“它差不多可以看为Mirai的强化版。” 安全研究人员称这个物联网恶意软件新星为Hajime。Hajime已经持续扩散了六个多月,它至今仍在势头不减地缔造着僵尸网络。Webb估计全球已有大约十万台设备被感染。 这些被控电脑组成的僵尸网络隐藏着惊人的破坏力。它们通常用于发起规模巨大的DDoS攻击,从而彻底瘫痪网站甚至破坏网络基础设施。 这像极了去年10月Mirai占据头条的情形。攻击者通过Mirai建立的僵尸网络发起了
发布时间:2017-04-25 16:00 | 阅读:102615 | 评论:0 | 标签:威胁情报 Hajime IoT安全 Mirai 僵尸网络

神秘“好”黑客散布计算机蠕虫保护IoT

这个名为Hajime的IoT“恶意”软件没有任何恶意行为,反而在做安全软件的事情。 某计算机蠕虫背后的神秘开发者,似乎在义务帮助保护IoT设备不受恶意软件的侵害。该蠕虫名为Hajime,已感染了上万台容易被黑的产品,比如DVR、互联网摄像头和路由器。然而,该蠕虫程序至今没有任何恶意行为出现。 相反,该蠕虫一直在阻止臭名昭著的恶意软件Mirai感染这些设备。Hajime的开发者还附带了一条消息: 我只是个保护系统的白帽子。保持警惕! 安全公司赛门铁克在4月17号发布了此事的新进展,称该所谓的“白帽子”道德黑客所做的工作,似乎起到了一些效果。 Mirai是一款快速传播的恶意软件,曾经奴役过数十万台脆弱IoT设备,造成美国西海岸大面积断网。Hajime便是在IoT设备上与Mirai竞争。 Mirai的意图是感染计算
发布时间:2017-04-22 03:25 | 阅读:123662 | 评论:0 | 标签:牛闻牛评 Hajime IoT Mirai 恶意软件 物联网安全

赛门铁克发现Hajime蠕虫软件与Mirai争夺物联网控制权 

近期,一场争夺物联网设备控制权的“战争”正在激烈进行中,尽管参与者众多,但只有2大家族“脱颖而出”:Mirai的剩余僵尸网络,以及名为“Hajime”的新型蠕虫家族。 去年10月,安全研究人员首次发现Hajime蠕虫。与Mirai(Linux.Gafgyt)相似,该蠕虫同样利用未采取保护措施的设备(远程登录端口处于打开状态并使用默认密码)进行传播。事实上,Hajime所使用的用户名及密码组合与Mirai完全相同,且仅比Mirai多两组。 与Mirai在命令和控制(C&C)服务器使用硬编码地址不同,Hajime建立在一个点对点网络之上。该网络中不存在C&C服务器地址,而是通过控制器,将命令模块推至点对点网络,然后将消息传播至所有点对点中,这导致此类网络的设计更加坚固,将其摧毁的难度也随之增加。
发布时间:2017-04-22 03:25 | 阅读:176147 | 评论:0 | 标签:威胁情报 Hajime Mirai 物联网 赛门铁克

​Leet僵尸网络超过Mirai 发动650G的DDoS攻击

分布式拒绝服务攻击(DDoS)持续发展,在规模和复杂度上屡创新高,2016年第4季度网络层攻击又达到了新的历史高度。 Imperva最新的《全球DDoS威胁态势季度报告》中,强力物联网(僵尸网络的兴起,以及租赁DDoS服务成本的降低,驱动了该破坏性DDoS攻击威胁的增长。随着网络层攻击规模的加大,应用层安全事件发生频率也上升了。 2016年第4季度Imperva缓解的最大型DDoS攻击规模是650Gbps,依托Leet僵尸网络发起(之前的第3季度中,阿卡迈处理了类似的攻击,是Mirai僵尸网络驱动的)。2016年最后3个月还见证了该年度最持久的网络层攻击——持续了29天。 2016年第四季度网络层攻击最高峰值达650Gbps 这3个月里,Imperva每周平均要缓解280起网络层攻击,总共3,603起,比上
发布时间:2017-03-20 18:30 | 阅读:108778 | 评论:0 | 标签:行业动态 DDoS攻击 Imperva Leet僵尸网络 Mirai ddos

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云