标签：10 攻击 000 DDoS Persirai Mirai 摄像头

名为 Persirai 的 Bot-herding 软件结合了Mirai 僵尸网络代码，可以征用已知 150,000 个易受 Mirai 攻击的 IP 摄像机的重要部分，并使用它们来发起分布式拒绝服务攻击。

据Trend Micro 的研究人员称， Persirai 僵尸网络已经攻击了至少四个目标，并且以可预测的模式开始。

Persirai 利用摄像头中的已知漏洞来感染它们，让它们从命令和控制服务器下载恶意软件，然后让它们感染其他易受攻击的摄像头或发起 DDoS 攻击。“根据研究人员的观察，一旦受害者的 IP 摄像头收到 C&C 命令（每 24 小时在 UTC 时间下午 12:00 发生），DDoS 攻击就会开始，”研究人员说。

他们说他们已经确定了至少四名 DDoS 攻击的受害者，但不能透露他们是谁。

下载恶意软件后，它会在内存中运行并从硬盘驱动器中删除自身，Trend 说，因此如果设备重新启动，它们就会摆脱感染。因此，攻击者不断寻找和重新感染相机。

Trend 表示，由多家制造商生产的 1,000 多种独立相机型号容易受到攻击。“在最初发现时，大约在 4 月的第一周和第二周，僵尸网络使用了大约 150,000 个摄像头，”研究人员说。“然而，最新结果显示，截至 5 月 10 日，约有 99,000 人。” 物联网搜索引擎 Shodan 将大约 120,000 个摄像头识别为易受攻击的。

根据 Trend 的说法，这可能暗示了谁编写了 Persirai：“我们发现 C&C 服务器使用了 .IR 国家/地区代码。该特定国家/地区代码由伊朗研究机构管理，仅限伊朗人使用。我们还发现了恶意软件作者使用的一些特殊波斯字符。”

独立研究员 Pierre Kim 详细说明了Persirai 如何进入相机。“‘云’协议仅使用目标摄像机的序列号在攻击者和摄像机之间建立明文 UDP 隧道（以绕过 NAT 和防火墙）。然后，攻击者可以自动暴力破解摄像机的凭据，”他写道。

Kim 表示，该漏洞存在于 1,250 款相机型号中，这些型号均基于为销售它们的各个品牌提供 OEM 的硬件。“因此，相机以不同的名称、品牌和功能出售，”Kim 写道。“每个供应商的 HTTP 接口都不同，但具有相同的漏洞。OEM 供应商使用自定义版本的 GoAhead [嵌入式 Web 服务器]，并在其中添加了易受攻击的代码。”

Alien Vault在此张贴 Persirai 合并了一些 Mirai 代码。“这个僵尸网络借鉴了 Mirai 的端口扫描模块等部分代码，但在感染链、C2 通信协议、攻击模块等方面与 Mirai 完全不同。尽管 Mirai 提到了二进制名称，但将其视为 Mirai 变体可能并不明智，” Alien Vault 说。

Kim 有这样的建议：“我建议立即将摄像头与互联网断开连接。”

这个故事，“另一个嵌入了 Mirai 碎片的物联网僵尸网络可以从 10 万台设备执行 DDoS”，最初由Network World发表 。

标签：10,攻击,000,DDoS,Persirai,Mirai,摄像头
来源： https://blog.csdn.net/ZY_Eliza/article/details/122469354

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。