Mirai 殭屍網路變種利用四信路由器缺陷發動 DDoS 攻擊
自2024 年11 月初以來,一種新的Mirai 變體一直在利用四信工業路由器中的漏洞,這清楚地提醒人們殭屍網絡構成的危險日益嚴重。這個術語源自其攻擊性原始碼引用) ,強調了分散式阻斷服務 (DDoS) 攻擊的持續威脅,並強調了強大的網路安全防禦的必要性。
該殭屍網路每天有 15,000 個活躍 IP,分佈在中國、伊朗、俄羅斯、土耳其和美國等地區,其規模已達到毀滅性的程度。它能夠利用零日漏洞和 20 多個已知安全漏洞,這給企業和個人用戶敲響了警鐘。
Table of Contents
被利用的漏洞:CVE-2024-12856
這個殭屍網路最近活動的核心是 CVE-2024-12856,這是一個影響四信路由器型號 F3x24 和 F3x36 的命令注入漏洞。此漏洞的 CVSS 評分為 7.2,允許攻擊者利用預設憑證配置不變的路由器。
自 2024 年 11 月發現以來,該漏洞已被積極利用來傳遞惡意負載,包括反向 shell 和基於 Mirai 的惡意軟體變體。透過瞄準工業級路由器,攻擊者可以利用高度連接的設備,擴大殭屍網路的影響範圍和效能。
多管齊下的進攻策略
Mirai 變體採用多種策略組合來感染設備並最大限度地發揮其影響:
- 透過弱憑證進行初步訪問
殭屍網路會掃描 Telnet 憑證或出廠預設值較弱的設備,這是許多物聯網和工業系統中常見的安全監督。 - 利用一長串漏洞
除了 CVE-2024-12856 之外,殭屍網路還利用了 20 多個其他漏洞,其中包括可追溯到 2013 年的缺陷,例如:- CVE-2013-3307
- CVE-2016-20016
- CVE-2021-35394
- 基於 Mirai 的惡意軟體功能
一旦部署,惡意軟體就會採用以下技術:- 隱藏惡意進程。
- 執行指令來定位新的易受攻擊的裝置。
- 不斷更新其惡意軟體負載。
- 發動有針對性的 DDoS 攻擊。
攻擊的規模和影響
該殭屍網路每天對數百個目標進行 DDoS 攻擊,頻寬峰值達到 100 Gbps。儘管這些攻擊通常只持續 10 到 30 秒,但突然湧入的流量可能會使伺服器不堪重負、中斷服務並造成重大損害。
值得注意的是,2024 年 10 月和 11 月,殭屍網路活動激增,惡意軟體積極掃描並危害設備。
更廣泛的殭屍網路威脅
最新的 Mirai 變體是網路犯罪分子利用物聯網和工業設備中的漏洞來建立殭屍網路的更大趨勢的一部分。類似的活動包括:
- Juniper Networks 警告:惡意行為者利用預設密碼瞄準會話智慧路由器 (SSR) 產品來傳播 Mirai 惡意軟體。
- Akamai 報告:Mirai 感染將 DigiEver DVR 中的遠端程式碼執行缺陷武器化。
這些事件反映了一個令人不安的現實:由於設備配置錯誤或未打補丁,攻擊者將繼續利用它們來壯大殭屍網路大軍。
如何防禦 Mirai 殭屍網路和 DDoS 攻擊
鑑於基於 Mirai 的殭屍網路的持續且不斷變化的威脅,組織和用戶採取全面的安全措施至關重要:
- 更改預設憑證
使用強大、獨特的憑證取代所有裝置上的出廠預設密碼。 - 定期修補和更新設備
保持路由器韌體和軟體更新,以緩解 CVE-2024-12856 等已知漏洞。 - 實施網路分段
將物聯網和工業設備與關鍵網路隔離,以限制橫向移動。 - 監控異常流量
使用入侵偵測系統 (IDS) 和基於異常的監控工具來偵測顯示 DDoS 活動的異常流量模式。 - 部署DDoS防護解決方案
基於雲端的 DDoS 防護可以在高頻寬攻擊到達您的網路之前吸收和緩解它們。 - 限制 Telnet 和遠端存取
停用 Telnet 存取並將遠端管理介面限制為僅可信任的 IP。
DDoS 威脅正在演變
最新的 Mirai 殭屍網路變種不僅僅是另一個惡意軟體菌株,它還是 DDoS 威脅日益複雜的先兆。透過利用工業路由器和物聯網設備中的漏洞,攻擊者正在創建具有更大影響力和破壞潛力的殭屍網路。
為了領先這些威脅,組織和個人必須保持警惕,保護其設備並採取主動的網路安全實踐。正如活動所表明的那樣,如果不加以解決,即使是看似很小的漏洞也可能產生巨大影響。
