Mirai变种Echobot僵尸网络有26个漏洞利用

作者:   深圳市网安计算机安全检测技术有限公司 2019/06/28 14:50:43 186次阅读 国际
文章来源:https://www.4hou.com/vulnerable/18584.html

        2019年6月,Unit 42研究人员分析了攻击iot设备加入8个漏洞利用的Mirai变种。近期,研究人员发现Echobot僵尸网络用来传播的漏洞利用数量增加到26个。而且大多数漏洞利用的代码主要是用于未进行安全补丁的IoT设备,但企业级应用Oracle WebLogic和VMware SD-Wan也是攻击的目标。

Mirai变种Echobot僵尸网络有26个漏洞利用

        Echobot僵尸网络是基于Mirai恶意软件的,据统计,自Mirai源码泄露后,有上百个基于Mirai的僵尸网络变种。6月初,Unit42研究人员分析发现该Mirai变种中新加入了8个漏洞,漏洞利用的总个数增加到18个。

        IoT设备是主要攻击目标

        Akamai安全研究人员Larry Cashdollar分析发现新版本的Echobot僵尸网络又新加入了8个漏洞利用来帮助传播。加上之前的18个,目前一共有26个不同的漏洞利用被用于僵尸网络的传播。这些漏洞利用主要是各类联网设备的知名命令执行漏洞。

Mirai变种Echobot僵尸网络有26个漏洞利用

        最新Echobot僵尸网络变种的攻击目标包括网络存储设备NAS,路由器、网络录像机(NVR)、IP摄像机、IP电话和无线演示系统。

        数十年的漏洞利用

        Cashdollar在分析漏洞利用还发现僵尸网络利用了一些有安全公告但是没有CVE编号的漏洞。

Cashdollar还编译了新Echobot变种使用的一些漏洞:

Mirai变种Echobot僵尸网络有26个漏洞利用

        研究人员分析发现,攻击者的除了传统的IoT设备以外,还加入了Oracle WebLogic Server和其他网络软件VMware SD-WAN的漏洞利用,用来提供对云端服务、私有数据中心和基于SAAS的企业级应用的访问。

        从上面的漏洞列表中可以看出,攻击者还使用了一些2009年的漏洞,这也说明有大量的设备超过10年都没有修复相关漏洞,而且仍然在使用。

        Cashdollar研究表明Echobot使用了与Mirai相同的攻击代码,但是使用了更多的漏洞利用来帮助其进行传播。

        研究人员分析发现C2服务器的域名被设置为akumaiotsolutions[.]pw和akuma[.]pw,但这还没有解析到IP地址。

        更多技术分析参见:https://blogs.akamai.com/sitr/2019/06/latest-echobot-26-infection-vectors.html

本文翻译自:https://www.bleepingcomputer.com/news/security/echobot-botnet-spreads-via-26-exploits-targets-oracle-vmware-apps/
指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室