北京
一款名為“ShadowV2”的新型Mirai衍生僵尸網(wǎng)絡(luò)惡意軟件被發(fā)現(xiàn)利用已知漏洞,針對D-Link、TP-Link等廠商的物聯(lián)網(wǎng)設(shè)備發(fā)起攻擊。
FortiGuard Labs研究人員在10月亞馬遜云服務(wù)大規(guī)模宕機期間監(jiān)測到該攻擊活動。盡管兩起事件并無關(guān)聯(lián),但該僵尸網(wǎng)絡(luò)僅在宕機期間活躍,這一特征或表明此次活動為一次測試性攻擊。
攻擊載體:8個跨廠商IoT設(shè)備漏洞
ShadowV2通過利用多款I(lǐng)oT產(chǎn)品的至少8個已知漏洞進行傳播,涉及設(shè)備及對應(yīng)漏洞如下:
·DD-WRT路由器:CVE-2009-2765
·D-Link設(shè)備:CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915
·DigiEver設(shè)備:CVE-2023-52163
·TBK設(shè)備:CVE-2024-3721
·TP-Link設(shè)備:CVE-2024-53375
其中,CVE-2024-10914是已被公開利用的命令注入漏洞,影響D-Link
經(jīng)與廠商核實后確認,受影響設(shè)備型號同樣不會獲得該漏洞的修復(fù)支持。D-Link
另一漏洞CVE-2024-53375于2024年11月被詳細披露,據(jù)悉廠商已通過測試版(beta)固件更新修復(fù)該漏洞。
攻擊范圍與技術(shù)特征
ShadowV2 使用的各種漏洞利用
FortiGuard Labs研究人員表示,ShadowV2的攻擊流量源自IP地址198[.]199[.]72[.]27,目標(biāo)涵蓋路由器、網(wǎng)絡(luò)附加存儲(NAS)設(shè)備及數(shù)字視頻錄像機(DVR),涉及政府、科技、制造、托管安全服務(wù)提供商(MSSP)、電信、教育等七大行業(yè),攻擊范圍遍布全球,包括美洲、歐洲、非洲、亞洲及大洋洲。
技術(shù)層面,該惡意軟件自稱為“ShadowV2 Build v1.0.0 IoT version”,與Mirai僵尸網(wǎng)絡(luò)的LZRD變種存在相似性。其傳播流程為:通過下載器腳本(binary.sh)從81[.]88[.]18[.]108服務(wù)器獲取惡意程序,完成初始植入。
下載腳本
在配置加密方面,ShadowV2采用XOR編碼對文件系統(tǒng)路徑、用戶代理(User-Agent)字符串、HTTP頭及Mirai風(fēng)格特征字符串進行加密處理。
功能上,該僵尸網(wǎng)絡(luò)支持對UDP、TCP及HTTP協(xié)議發(fā)起分布式拒絕服務(wù)攻擊,且每種協(xié)議均包含多種洪水攻擊類型,控制服務(wù)器通過向受控設(shè)備(僵尸機)發(fā)送指令觸發(fā)攻擊。
DDoS攻擊觸發(fā)
通常情況下,DDoS僵尸網(wǎng)絡(luò)的盈利模式包括向網(wǎng)絡(luò)犯罪分子出租攻擊算力,或直接勒索攻擊目標(biāo)(要求支付贖金以停止攻擊)。但截至目前,ShadowV2的幕后操控者身份及其盈利策略尚未明確。
參考及來源:https://www.bleepingcomputer.com/news/security/new-shadowv2-botnet-malware-used-aws-outage-as-a-test-opportunity/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
