吳明宜安全研究人員發現,一隻變種 Mirai 殭屍網路正在濫用台灣永恒數位 (DigiEver) 生產的 NVR 播放器與 TP-Link 家用路由器韌體漏洞。
這波攻擊起自 10 月份,攻擊二家廠商產品的舊版韌體漏洞。其中一漏洞是由 TXOne 研究人員顏大倫 (Ta-Lun Yen) 發現,並在 DefCamp 安全大會上展示。而 Akamai 研究人員在 11 月間觀察到 Mirai 變種攻擊,他們推測,病毒可能 9 月就開始活動。
在這波攻擊中,Mirai 濫用了 DigiEver DS-2105 Pro NVR 韌體上的遠端程式碼執行 (remote cde execution, RCE) 漏洞,該漏洞出在驗證用戶輸入的元件/cgi-bin/cgi_main. Cgi URI 未能適當發揮驗證作用。這使得遠端攻擊者得以透過特定參數,像是 HTTPPOST 呼叫中的 ntp 欄位參數注入 curl 和 chmod 等指令。
成功注入指令後,攻擊者就從外部伺服器下載惡意二進位程式到受害設備中,將其收編到殭屍網路中。駭客又執行工作排程公用工具 cron,達成滲透目的。一旦設備遭駭入,成為殭屍網路的節點之一,就會被用於執行分散式阻斷服務 (DDoS) 攻擊,或是結合濫用工具或竊來的密碼,將 Mirai 感到到其他裝置。
Akamai 表示,Mirai 以擅用 XOR 和 ChaCha2o 複雜加密方法,及感染多種系統架構如 x86 、 ARM 、 MIPS 聞名。雖然複雜加密這點如同以往,但是這波攻擊顯示這隻 Mirai 變種加入了新的策略、技倆和程序 (TTP),和過去很不同,因為過去 Mirai 變種多半是沿用從初代 Mirai 擷取部份程式碼的字串混淆方法。
Mirai 目標除了永恒數位 NVR 裝置外,也攻擊了 TP-Link 的 CVE-2023-1389,以及 Teltonika RUT9XX 路由器的 CVE-2018-17532 。
Akamai 在其報告中列出 Mirai 變種的入侵指標 (IoC),以及偵測與封鎖的 Yara 規則。