Dark Mirai Botnet
尽管 Mirai 僵尸网络在几年前被关闭,但它的遗产继续存在。僵尸网络源代码发布后,许多网络犯罪分子以此为基础创建自己的恶意软件版本。仍然活跃的 Mirai分支之一被信息安全社区跟踪为 Dark Mirai(又名 MANGA)。据 Fortinet 的研究人员称,他们正在监视该僵尸网络的活动,其运营商正在继续为其配备新的漏洞以供利用。
最新添加到 Dark Mirai 中的一个影响了一系列流行的 TP-Link 家用路由器。更具体地说,受影响的型号是 2017 年发布的 TL-WR840N EU V5。特定漏洞 - CVE-2021-41653 由于存在易受攻击的"主机"变量,允许经过身份验证的用户在设备上执行命令。应该注意的是,TP-Link 在 2021 年 11 月 12 日发布固件更新时解决了这个问题,因此 Dark Mirai 黑客寄希望于用户不更新他们的设备并保持脆弱。
发现合适的设备后,攻击者将利用 CVE-2021-41653 漏洞下载并执行名为"tshit.sh"的脚本。然后该脚本负责通过两个请求获取主要负载。由于攻击者需要进行身份验证,因此仍然使用路由器默认凭据的用户最有可能受到攻击。
部署后,Dark Mirai 将识别受感染路由器的架构,然后继续获取适当的负载。然后,威胁将通过关闭几个常见目标端口来隔离设备,使其免受其他竞争僵尸网络的潜在渗透。黑暗未来将保持休眠状态,等待来自其命令与控制 (C&C) 服务器的命令。
