區塊鏈安全諮詢公司 曲速未來 訊息：Mirai和Gafgyt是兩個最著名的物聯網僵屍網路，它們再次分叉，新的變種在企業部門偷看，用於建立或補充他們的分散式攻擊的拒絕服務資源。

Mirai活動正在增加：運營Mirai追蹤器的美國安全研究員Troy Mursch曾講過，Sora並不是唯一一個看到復甦的人，並且Mirai攻擊的數量一直在穩步增加。

1.從今年到目前為止，已經從86,063個獨特的源IP中觀察到與Mirai類似簽名匹配的傳入流量。

2.峰值於6月開始。就有類似的觀察。

“即使裝置重新啟動，它們也會再次成為新的目標，因為潛在的漏洞永遠不會被修補，”Mursch說，指出了對沒有安全補丁的過時裝置的指責。

在此之前，Mirai將繼續困擾物聯網場景和整個網際網路。

幾年前，兩種惡意軟體的程式碼都進入了公共空間，有抱負的網路犯罪分子開始催生他們自己的版本。

大多數時候，這些突變並沒有什麼有趣之處，但最新的替代品顯示出對商業裝置的偏愛。

據有報告顯示，新的Mirai和Gafgyt增加了他們利用一些舊漏洞的漏洞利用程式碼庫。

Mirai現在的目標是執行未修補的Apache Struts的系統，這個版本在去年的Equifax漏洞中遭到攻擊。（Equifax是美國最大的消費者信用報告和其他金融服務提供商之一，當時表示，它是攻擊的受害者，在那期間，攻擊者對超過1.43億客戶的細節進行了抨擊。）CVE-2017-5638已經修復了一年多，但除非它被徹底根除，否則網路犯罪分子將有儘可能多的理由將它新增到他們的技巧庫中，因為有些裝置可以使用它。

​

Mirai包中的漏洞利用數量現已達到16個。其中大部分都是為了破壞路由器，NVR，攝像機和DVR等連線裝置。

​

Gafgyt，也稱為Baslite，通過在SonicWall的全球管理系統（GMS）的不受支援的版本中針對新發現的漏洞（CVE-2018-9866，具有完美的嚴重性評分）來檢視業務裝置。

​

​

在針對此漏洞釋出Metasploit模組後不到一週，第42單元在8月5日發現了新樣本。

​

感染Gafgyt的裝置可以掃描其他成熟的裝置，以便妥協並提供適當的利用。惡意軟體中存在的另一個命令是發起Blacknurse攻擊：一種影響CPU負載的低頻寬ICMP攻擊，能夠對眾所周知的防火牆進行拒絕服務。

​

兩個新變種背後的威脅演員相同

如果新Mirai和Gafgy所針對的系統型別只暗示同一個演員在他們後面，安全研究人員發現了證據：兩個樣本都託管在同一個域中。

​

8月，該域名解析為不同的IP地址，間歇性地託管了Gafgyt利用SonicWall錯誤的樣本。

​

Apache Struts利用多漏洞Mirai變種

在新變種中針對Apache Struts的攻擊找到了目標CVE-2017-5638，這是一個通過精心設計的Content-Type，Content-Disposition或Content-Length HTTP標頭的任意命令執行漏洞。其格式下圖所示，有效負載突出顯示。

​

SonicWall GMS利用Gafgyt變體

漏洞攻擊所針對的漏洞CVE-2018-9866源於缺乏對set_time_config方法的XML-RPC請求的清理。如下圖顯示了示例中使用的漏洞，其中突出顯示了有效負載。

​

在針對此漏洞釋出Metasploit模組後不到一週，這些樣本首次出現在8月5日。然而所發現的樣本是使用Gafgyt程式碼庫而不是Mirai構建的。

區塊鏈安全諮詢公司 曲速未來 表示：通過這些物聯網/ Linux僵屍網路將針對Apache Struts和SonicWall的攻擊結合起來可能表明從消費者裝置目標到企業目標的更大變動。

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司編譯，轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。