一个叫做Persirai的机器人放牧软件,它整合了Mirai僵尸网络代码可以从已知的15万个易受Mirai攻击的IP摄像头中获取大量数据,并利用它们发动分布式拒绝服务攻击。
据报道,波斯僵尸网络已经攻击了至少四个目标,并以一种可预测的模式开始趋势科技的研究人员。
Persirai利用摄像头的一个已知漏洞来感染它们,让它们从一个命令和控制服务器上下载恶意软件,然后让它们去感染其他脆弱的摄像头或者发动DDoS攻击。“根据研究人员的观察,一旦受害者的IP摄像头收到C&C命令(每24小时在UTC时间中午12点发生一次),DDoS攻击就开始了,”研究人员说。
他们说,他们已经确认了至少四名DDoS攻击的受害者,但不能透露他们是谁。
Trend说,一旦下载了恶意软件,它就会在内存中运行,并从硬盘中删除自己,所以如果设备重新启动,它们就会摆脱感染。因此,攻击者不断地搜索并重新感染摄像头。
Trend说,多家厂商生产的1000多款相机都很容易受到攻击。研究人员说:“在最初发现的时候,大约在4月的第一周和第二周,大约有15万个摄像头被僵尸网络使用。”然而,截至5月10日的最新调查结果显示,约有9.9万人死于癌症。物联网搜索引擎肖丹(Shodan)认为,约有12万个摄像头存在安全隐患。
据Trend报道,以下是关于谁编写了Persirai的可能线索:“我们发现C&C服务器使用的是。ir国家代码。这个特定的国家代码是由一家伊朗研究机构管理的,该机构只对伊朗人开放。我们还发现了恶意软件作者使用的一些特殊的波斯字符。”
波斯瑞是怎么进入镜头的由独立研究人员Pierre Kim解释。“‘云’协议只使用目标摄像头的序列号,在攻击者和摄像头之间建立明文UDP通道(以绕过NAT和防火墙)。然后,攻击者就可以自动破坏摄像头的凭证,”他写道。
金说,这一漏洞存在于1250款相机上,这些相机都是基于不同品牌的硬件设计。“因此,相机以不同的名称、品牌和功能出售,”Kim写道。每个供应商的HTTP接口都是不同的,但存在相同的漏洞。OEM厂商使用了GoAhead(嵌入式Web服务器)的定制版本,并在其中添加了易受攻击的代码。”
AlienVault帖子在这里,Persirai合并了一些Mirai代码。该僵尸网络借用了Mirai的端口扫描模块等部分代码,但在感染链、C2通信协议、攻击模块等方面与Mirai完全不同。虽然两个名字都有Mirai提到,但把它当作Mirai的变体可能是不明智的,”AlienVault说。
Kim给出了这样的建议:“我建议立即断开摄像头与互联网的连接。”