Mirai_ptea 殭屍網絡
一個基於臭名昭著的 Mirai 殭屍網絡的新變種已被檢測為主動威脅操作的一部分。惡意軟件研究人員將這種新威脅命名為 Mirai_ptea,它利用了 KGUARD DVR 設備中的一個漏洞。有關特定漏洞的某些細節處於保密狀態,但簡而言之,它允許威脅行為者訪問 KGUARD DVR 固件上的 rsSystemServer 程序,然後可以偵聽 0.0.0.0 的端口 56*** 以遠程執行任意系統命令,而無需對自己進行身份驗證。應該注意的是,這個特殊的漏洞在 2017 年之後發布的固件版本中得到了修復。 儘管如此,信息安全研究人員發現了大約 3,000 台可能被 Mirai_ptea 攻陷的易受攻擊的設備。大多數已經被攻破的設備似乎位於美國,其次是韓國和巴西。
威脅能力
Mirai 殭屍網絡在 2016 年聲名狼藉,不久之後,其源代碼在黑客論壇上洩露,有效地將威脅轉化為開源惡意軟件。從那以後,不擇手段的網絡犯罪分子一直在製造無數威脅,對原始 Mirai 代碼的依賴程度各不相同。至於 Mira_ptea,對其代碼和活動的分析表明,在宿主行為層面,它與 Mirai 幾乎相同。主要區別在於 Mirai_ptea 處理其網絡流量的方式。事實上,它的名字來源於其中兩個——使用 TOR 代理與命令和控制(C2,C&C)服務器通信,以及依賴 TEA(Tine 加密算法)來屏蔽敏感資源數據。 Mirai_ptea 的主要威脅功能是執行 DDoS(分佈式拒絕服務)攻擊,該威脅已用於針對選定目標的主動攻擊。
