Nexcorium Botnet
网络安全调查显示,攻击者正积极利用TBK DVR系统和已停产的TP-Link Wi-Fi路由器中的安全漏洞,部署Mirai僵尸网络的各种变种。这些设备在安全策略中往往被忽视,由于固件过时、配置薄弱且补丁更新不及时,它们成为了极具吸引力的攻击入口。这些设备的广泛部署进一步凸显了它们在大规模网络攻击中作为目标的价值。
目录
利用已知漏洞进行初始访问
此次针对TBK DVR设备的攻击活动利用了CVE-2024-3721漏洞,这是一个中等严重程度的命令注入漏洞(CVSS评分:6.3),影响DVR-4104和DVR-4216型号。攻击者利用此漏洞,植入名为Nexcorium的基于Mirai的有效载荷。该漏洞此前也曾被用于其他攻击活动;它曾被用于部署Mirai变种以及新兴的RondoDox僵尸网络。
此外,早期的研究还强调了一个加载器即服务生态系统,该系统通过滥用路由器、物联网设备和企业应用程序中的弱凭证和遗留漏洞,传播了包括 RondoDox、Mirai 和 Morte 在内的多个恶意软件家族。
感染链和有效载荷部署
攻击序列首先利用DVR漏洞部署下载脚本。该脚本会识别目标系统的Linux架构,并执行相应的僵尸网络有效载荷。一旦激活,恶意软件会显示一条消息,表明系统已被控制,从而发出已被攻破的信号。
Nexcorium 的结构设计与传统的 Mirai 变体类似,它包含了编码的配置数据、系统监控机制以及用于发起分布式拒绝服务攻击的专用模块。
横向移动和坚持技巧
该恶意软件利用包括 CVE-2017-17215 在内的其他漏洞,扩大其在网络中的传播范围,该漏洞专门针对华为 HG532 设备。它还采用暴力破解技术,利用嵌入式凭证列表,通过 Telnet 访问入侵其他系统。
一旦获得访问权限,恶意软件会执行以下几个操作:
- 在被入侵的主机上建立 shell 会话
- 使用 crontab 和 systemd 服务配置持久化
- 连接到远程命令与控制服务器以获取指令
这些措施可确保持续控制,同时最大限度地降低被发现和分析的可能性。
僵尸网络能力及其对运营的影响
在确保持久性之后,Nexcorium 使攻击者能够使用多种协议执行一系列 DDoS 攻击,包括:
UDP
TCP
SMTP
这种多向量攻击能力可以实现灵活且高影响力的攻击场景,使僵尸网络对目标基础设施构成重大威胁。
持续存在的威胁形势和未来风险
Nexcorium 是物联网僵尸网络演进的典型代表,它融合了漏洞利用重用、跨架构兼容性和强大的持久化机制。它将已知漏洞与激进的暴力破解策略相结合,展现了其高度的适应性。
继续依赖默认凭证和未打补丁的设备,注定物联网生态系统将始终是一个关键的薄弱环节。如果设备安全措施不得到显著改进,这些系统将继续助长大规模僵尸网络活动,并破坏全球网络稳定。
