Mirai 僵尸网络变种利用 Four-Faith 路由器漏洞发动 DDoS 攻击
为了提醒人们僵尸网络带来的危险日益增加,一种新的 Mirai 变种自 2024 年 11 月初以来一直在利用 Four-Faith 工业路由器中的漏洞。这个最新的僵尸网络被称为“gayfemboy”(该术语源自其攻击性源代码引用),凸显了分布式拒绝服务 (DDoS) 攻击的持续威胁,并强调了对强大的网络安全防御的必要性。
该僵尸网络每天有 15,000 个活跃 IP,分布在中国、伊朗、俄罗斯、土耳其和美国等地区,规模已达到毁灭性的程度。它能够利用零日漏洞和超过 20 个已知安全漏洞,这对企业和个人用户来说都是一个警钟。
Table of Contents
被利用的漏洞:CVE-2024-12856
僵尸网络近期活动的核心是 CVE-2024-12856,这是一个影响 Four-Faith 路由器型号 F3x24 和 F3x36 的命令注入漏洞。该漏洞的 CVSS 评分为 7.2,允许攻击者利用配置了未更改的默认凭据的路由器。
自 2024 年 11 月发现以来,该漏洞一直被积极利用来传递恶意负载,包括反向 shell 和基于 Mirai 的恶意软件变体。通过瞄准工业级路由器,攻击者可以利用高度连接的设备,扩大其僵尸网络的覆盖范围和有效性。
多管齐下的攻击策略
Mirai 变体采用多种策略来感染设备并最大化其影响:
- 通过弱凭证进行初始访问
僵尸网络会扫描具有弱 Telnet 凭证或出厂默认设置的设备,这是许多物联网和工业系统中常见的安全疏忽。 - 利用大量漏洞
除了 CVE-2024-12856 之外,该僵尸网络还利用了 20 多个其他漏洞,包括可追溯到 2013 年的漏洞,例如:- CVE-2013-3307
- CVE-2016-20016
- CVE-2021-35394
- 基于 Mirai 的恶意软件功能
一旦部署,该恶意软件将采用以下技术:- 隐藏恶意进程。
- 执行命令来定位新的易受攻击的设备。
- 不断更新其恶意软件负载。
- 发起有针对性的 DDoS 攻击。
袭击的规模和影响
该僵尸网络每天针对数百个目标发起 DDoS 攻击,带宽峰值达到 100 Gbps。虽然这些攻击通常只持续 10 到 30 秒,但突然涌入的流量可能会压垮服务器、中断服务并造成重大损失。
值得注意的是,2024 年 10 月和 11 月僵尸网络活动激增,恶意软件积极扫描并破坏设备。
更广泛的僵尸网络威胁
最新的 Mirai 变体是网络犯罪分子利用物联网和工业设备漏洞构建僵尸网络的更大趋势的一部分。类似的活动包括:
- 瞻博网络警告:恶意行为者利用默认密码针对会话智能路由器 (SSR) 产品传播 Mirai 恶意软件。
- Akamai 报告:Mirai 感染利用 DigiEver DVR 中的远程代码执行漏洞。
这些事件反映了一个令人不安的现实:由于设备配置错误或未打补丁,攻击者将继续利用它们来扩大他们的僵尸网络大军。
如何防范 Mirai 僵尸网络和 DDoS 攻击
鉴于基于 Mirai 的僵尸网络的持续不断且不断演变的威胁,组织和用户采取全面的安全措施至关重要:
- 更改默认凭证
使用强大、独特的凭证替换所有设备上的出厂默认密码。 - 定期修补和更新设备
保持路由器固件和软件更新,以缓解已知漏洞(如 CVE-2024-12856)。 - 实施网络分段
将物联网和工业设备与关键网络隔离,以限制横向移动。 - 监控异常流量
使用入侵检测系统 (IDS) 和基于异常的监控工具来检测表明 DDoS 活动的异常流量模式。 - 部署防 DDoS 解决方案
基于云的 DDoS 保护可以在高带宽攻击进入您的网络之前吸收并缓解它们。 - 限制 Telnet 和远程访问
禁用 Telnet 访问并将远程管理接口限制为仅受信任的 IP。
DDoS 威胁不断演变
最新的 Mirai 僵尸网络变种不仅仅是一种恶意软件,它预示着 DDoS 威胁将日趋复杂。通过利用工业路由器和物联网设备中的漏洞,攻击者正在创建具有更大覆盖范围和破坏力的僵尸网络。
为了防范这些威胁,组织和个人必须保持警惕,保护好自己的设备,并采取主动的网络安全措施。正如这次活动所表明的那样,如果不加以解决,即使是看似微不足道的漏洞也会产生巨大的影响。
