Kimwolf 僵尸网络劫持 180 万台安卓电视,发起大规模 DDoS 攻击
HackerNews 编译,转载请注明出处: 根据奇安信XLab的研究,一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军,这些设备包括基于安卓系统的电视、机顶盒和平板电脑,并且可能与另一个名为 AISURU 的僵尸网络存在关联。 “Kimwolf是一个使用NDK编译的僵尸网络,” 该公司在今天发布的一份报告中表示。”除了典型的DDoS攻击能力外,它还集成了代理转发、反向Shell和文件管理功能。” 据估计,这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间,其一个C2域名曾登顶Cloudflare的全球前100域名榜单,甚至一度短暂超越谷歌。 Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球,其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而,恶意软件传播到这些设备的具体方式目前尚不清楚。 XLab表示,其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的”第四版”样本。自那以后,上月又发现了另外八个样本。 “我们观察到,Kimwolf的C2域名至少被未知方成功关闭了三次,迫使其升级策略,转而使用ENS来强化其基础设施,这展示了其强大的进化能力,” XLab研究人员说。 不仅如此,本月早些时候,XLab成功夺取了其中一个C2域名的控制权,从而得以评估该僵尸网络的规模。 Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联,后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测,攻击者在早期阶段重用了AISURU的代码,后来才选择开发Kimwolf僵尸网络以规避检测。 XLab表示,其中一些攻击可能并非仅来自AISURU,Kimwolf可能参与甚至主导了这些攻击。 “这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播,共存于同一批设备中,” 该公司表示。”它们实际上属于同一个黑客组织。” 这一评估基于上传到VirusTotal平台的APK包的相似性,在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据:一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。 恶意软件本身相当直接。一旦启动,它会确保在受感染设备上只运行一个进程实例,然后继续解密嵌入的C2域名,使用基于TLS的DNS获取C2 IP地址,并连接到该地址以接收和执行命令。 截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术,该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址,旨在使其基础设施对打击行动更具弹性。 具体来说,这涉及到从事务的”lol”字段中提取IPv6地址,然后取该地址的最后四个字节,并用密钥”0x93141715″进行异或运算以得到实际的IP地址。 除了加密与C2服务器和DNS解析器相关的敏感数据外,Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言,该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据,攻击目标位于美国、中国、法国、德国和加拿大。 进一步分析确定,超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分,一个基于Rust的命令客户端模块被部署以形成代理网络。 同时分发给节点的还有ByteConnect SDK,这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。 “巨型僵尸网络起源于2016年的Mirai,感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上,” XLab表示。”然而,近年来,诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露,这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
新型 Mirai 僵尸网络导致TVT DVR漏洞利用激增
HackerNews 编译,转载请注明出处: 近期,一种新型Mirai僵尸网络引发了针对TVT NVMS9000数字视频录像机(DVR)的大规模漏洞利用激增。该攻击潮在2025年4月3日达到高峰,当天共检测到超过2500个独立IP地址在扫描易受攻击的设备。 攻击者利用的是一个信息泄露漏洞,该漏洞最早由SSD Advisory于2024年5月披露,详细公开了通过单一TCP数据包获取管理员明文凭证的完整利用方法。该漏洞可绕过认证机制,使攻击者无需权限即可执行设备上的管理命令。 根据威胁监测平台GreyNoise的监测结果,这一波攻击极可能与基于Mirai的恶意软件有关,其目的是将受感染设备纳入其僵尸网络中。这些被感染的设备通常会被用来代理恶意流量、进行加密货币挖矿,或发起分布式拒绝服务(DDoS)攻击。 在过去一个月内,GreyNoise记录了6600个与该活动相关的独立IP地址,全部被确认为恶意且无法伪造。其中,大多数攻击来源于台湾地区、日本和韩国,而受攻击的设备则主要集中在美国、英国和德国。 TVT NVMS9000是由中国深圳的TVT数字技术有限公司生产的一款数字视频录像机,主要用于安防监控系统中对视频画面进行录制、存储和管理。由于这些DVR设备通常联网使用,因此历来是各种僵尸网络攻击的重点目标,有些漏洞甚至已存在长达五年之久。 近期曾攻击DVR设备的其他僵尸网络还包括HiatusRAT、Mirai和FreakOut。根据SSD发布的建议,用户应尽快将固件升级至1.3.4版本或更高版本以修复漏洞。如无法升级,建议限制DVR设备的公网访问权限,并屏蔽GreyNoise列出的恶意IP地址的入站请求。 感染Mirai僵尸网络的DVR设备通常会表现出异常网络流量激增、运行缓慢、频繁死机或重启、空闲时CPU或内存占用高以及配置被篡改等迹象。如发现上述情况,应立即断开设备连接,执行出厂重置,更新至最新固件,并将其与主网络隔离。 值得注意的是,NVMS9000的最新固件发布时间为2018年,目前尚不清楚该系列设备是否仍在厂商支持范围内。 消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
未修复的 Edimax 摄像头漏洞自去年起遭利用进行 Mirai 僵尸网络攻击
HackerNews 编译,转载请注明出处: 自 2024 年 5 月以来,攻击者一直在利用 Edimax IC-7100 网络摄像头的一个未修复安全漏洞来分发 Mirai 僵尸网络恶意软件变种。 该漏洞为 CVE-2025-1316(CVSS v4 评分:9.3),是一个关键的操作系统命令注入漏洞,攻击者可利用特制请求在易受攻击设备上实现远程代码执行。 网络安全公司 Akamai 表示,针对该漏洞的最早利用尝试可追溯到 2024 年 5 月,尽管自 2023 年 6 月以来一直有公开的概念验证(PoC)利用可用。 “该漏洞利用了 Edimax 设备中 /camera-cgi/admin/param.cgi 端点,并将命令注入 NTP_serverName 选项,作为 param.cgi 的 ipcamSource 选项的一部分,”Akamai 研究员 Kyle Lefton 和 Larry Cashdollar 表示。 虽然利用该端点需要身份验证,但发现攻击者利用了默认凭证(admin:1234)来获取未经授权的访问。 至少有两种不同的 Mirai 僵尸网络变种被发现利用该漏洞,其中一种在运行获取不同架构恶意软件的 shell 脚本之前还加入了反调试功能。 这些活动的最终目标是将受感染设备整合到一个能够针对感兴趣目标发动分布式拒绝服务(DDoS)攻击的网络中。 此外,僵尸网络还被观察到利用了影响 TOTOLINK 物联网设备的 CVE-2024-7214 和 CVE-2021-36220 以及 Hadoop YARN 漏洞。 在上周发布的一份独立咨询中,Edimax 表示 CVE-2025-1316 影响的是不再积极支持的旧设备,由于该型号已停产超过 10 年,因此没有计划提供安全补丁。 鉴于没有官方补丁,建议用户要么升级到较新的型号,要么避免将设备直接暴露在互联网上,更改默认管理员密码,并监控访问日志是否有异常活动的迹象。 “网络犯罪分子开始组装僵尸网络的最有效方式之一是针对旧设备上安全性差且过时的固件,”Akamai 表示。 “Mirai 的遗产继续困扰着全球各地的组织,因为基于 Mirai 恶意软件的僵尸网络传播没有停止的迹象。有了各种免费的教程和源代码(现在还有人工智能的帮助),启动僵尸网络变得更容易了。” 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Mirai 变种 Murdoc Botnet 利用 AVTECH IP 摄像头和华为路由器的安全漏洞
HackerNews 编译,转载请注明出处: 网络安全研究人员警告称,一种新型大规模攻击活动正在利用AVTECH IP摄像头和华为HG532路由器的安全漏洞,将这些设备纳入一个名为Murdoc Botnet的Mirai僵尸网络变种。Qualys安全研究员Shilpesh Trivedi在分析中指出:“此次持续的攻击活动展现了增强的能力,通过利用漏洞来入侵设备并建立广泛的僵尸网络。”该活动自2024年7月开始,至今已感染超过1,370个系统。大多数感染事件发生在马来西亚、墨西哥、泰国、印尼和越南。 证据表明,该僵尸网络利用已知的安全漏洞(如CVE-2017-17215和CVE-2024-7029)来获取对物联网(IoT)设备的初始访问权限,并通过shell脚本下载下一阶段的恶意负载。该脚本会根据设备的CPU架构,获取并执行僵尸网络恶意软件。这些攻击的最终目标是利用僵尸网络发动分布式拒绝服务(DDoS)攻击。 几周前,一个名为“gayfemboy”的Mirai僵尸网络变种被发现,自2024年11月初以来,它一直在利用最近披露的Four-Faith工业路由器的安全漏洞。2024年年中,Akamai还透露,CVE-2024-7029被恶意行为者利用,将AVTECH设备纳入僵尸网络。 上周,有关另一场大规模DDoS攻击活动的细节浮出水面,该活动自2024年底以来一直针对日本的主要公司和银行,通过利用漏洞和弱凭据来组建一个物联网僵尸网络。 此次DDoS攻击活动主要针对电信、技术、托管、云计算、银行、游戏和金融服务行业。超过55%的受感染设备位于印度,其次是南非、巴西、孟加拉国和肯尼亚。 Trend Micro表示:“该僵尸网络包含源自Mirai和BASHLITE的恶意软件变种。其命令包括可以采用多种DDoS攻击方法、更新恶意软件以及启用代理服务的指令。”这些攻击涉及入侵物联网设备,部署一个加载器恶意软件,该恶意软件会获取实际负载,然后连接到命令与控制(C2)服务器,等待进一步的DDoS攻击和其他用途的指令。为了防范此类攻击,建议监控由任何不受信任的二进制文件/脚本执行所产生的可疑进程、事件和网络流量。同时,建议应用固件更新并更改默认用户名和密码。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
新型 Mirai 僵尸网络利用 NVR 和 TP-Link 路由器漏洞
HackerNews 编译,转载请注明出处: 自10月起,一个基于Mirai的新型僵尸网络开始活跃利用DigiEver DS-2105 Pro NVR设备中的一个未打补丁的远程代码执行漏洞。该漏洞尚未获得正式的跟踪编号。 该僵尸网络的攻击目标不仅限于DigiEver设备,还包括多个网络视频录制机(NVR)和固件版本过时的TP-Link路由器。 TXOne研究员Ta-Lun Yen去年在罗马尼亚布加勒斯特的DefCamp安全会议上曾展示过一个影响多个DVR设备的类似漏洞。Akamai的研究员发现,尽管该僵尸网络自11月中旬才开始大规模利用这一漏洞,但相关活动迹象至少可以追溯到9月。 此外,这个新型的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389漏洞和Teltonika RUT9XX路由器上的CVE-2018-17532漏洞发起了攻击。 攻击DigiEver NVR 被利用来攻破DigiEver NVR的漏洞是一个远程代码执行(RCE)漏洞,攻击者通过利用’/cgi-bin/cgi_main.cgi’ URI中的不正确用户输入验证来发动攻击。 这使得远程未认证的攻击者能够通过特定参数(如HTTP POST请求中的ntp字段)注入命令,如’curl’和’chmod’。 Akamai表示,该Mirai僵尸网络的攻击与Ta-Lun Yen演示中描述的攻击非常相似。 通过命令注入,攻击者从外部服务器获取恶意软件二进制文件,并将设备纳入其僵尸网络。通过添加定时任务(cron jobs),攻击者实现了持久化。 一旦设备被攻陷,它将被用于发起分布式拒绝服务(DDoS)攻击,或通过利用漏洞集和凭证列表传播到其他设备。 Akamai指出,这个新的Mirai变种在技术上具有显著特点,它运用了XOR和ChaCha20加密技术,并且能够针对x86、ARM和MIPS等多种系统架构发起攻击。 Akamai评论道:“尽管采用复杂的解密手段并非首次出现,但这无疑表明Mirai僵尸网络的运营者正在持续更新其战术、技术和程序。” 研究人员进一步强调:“这一现象尤为值得关注,因为许多基于Mirai的僵尸网络至今仍依赖从原始Mirai恶意软件源代码中沿用的字符串混淆逻辑。” 此外,该僵尸网络还利用了另外两个已知漏洞:CVE-2018-17532(影响Teltonika RUT9XX路由器)和CVE-2023-1389(影响TP-Link设备)。 Akamai报告的末尾提供了与该活动相关的攻击指示符(IoC)以及用于检测和防御该威胁的Yara规则,以帮助企业和安全团队有效应对这一新型Mirai变种带来的挑战。 消息来源:Bleeping Computer, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
新型 Mirai 木马变种利用 27 个漏洞 瞄准企业设备
据外媒ZDNet报道,安全研究人员发现了一种新型的Mirai IoT恶意软件变种,针对2种设备——智能信号电视和无线演示系统。 Palo Alto Networks 的安全研究人员在今年早些时候发现了一种新的 IoT 僵尸网络,正使用这种新型 Mirai 木马变种。该僵尸网络的制造者似乎已投入大量时间来利用新漏洞升级旧版本的 Mirai,新型变种共使用了 27 个漏洞,其中 11 个是 Mirai 的新型攻击,指向智能 IoT 设备和网络设备。 此外,该僵尸网络背后的黑客还扩展了 Mirai 内置的默认证书列表,以利用该列表来破解使用默认密码的设备,Mirai 默认证书的列表中已增加了 4 种新的用户名和密码的组合。新型变种的目标和作案手法与之前的僵尸网络相同,受感染的设备会在互联网上扫描具有公开 Telnet 端口的其他 IoT 设备,并使用来自其内部列表的默认证书来中断并接管这些新设备。受感染的设备还会扫描互联网上特定的设备类型,然后尝试使用27个漏洞中的一个来接管未打补丁的系统。 通常 Mirai 僵尸网络针对的是路由器、调制解调器、安全摄像头和DVR / NVR,极少数情况下会针对智能电视、手机和一些企业Linux和Apache Struts服务器。然而根据 Palo Alto Networks 研究人员的报告,他们今年发现的新 Mirai 僵尸网络是故意针对两种使用特制技术的新设备类型,即LG Supersign 电视和WePresent WiPG-1000无线演示系统。他们所使用的漏洞在网络上已经暴露过数月,但这是首次被利用于攻击。 新增的漏洞利用: 漏洞 受影响的设备 CVE-2018-17173 LG Supersign电视 WePresent WiPG-1000命令注入 WePresent WiPG-1000无线演示系统 DLink DCS-930L远程命令执行 DLink DCS-930L网络视频摄像机 DLink diagnostic.php命令执行 DLink DIR-645,DIR-815路由器 Zyxel P660HN远程命令执行 Zyxel P660HN-T路由器 CVE-2016至1555年 Netgear WG102,WG103,WN604,WNDAP350,WNDAP360,WNAP320,WNAP210,WNDAP660,WNDAP620器件 CVE-2017-6077,CVE-2017-6334 Netgear DGN2200 N300无线ADSL2 +调制解调器路由器 Netgear Prosafe远程命令执行 Netgear Prosafe WC9500,WC7600,WC7520无线控制器 消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
新型僵尸网络 HNS 不断增长,已感染逾 2 万物联网设备
外媒 1 月 25 日消息,一个名为 Hide’N Seek( HNS )的新僵尸网络正在世界各地不断增长,对物联网设备造成重大影响(截至目前为止,受感染的物联网设备数量已达 2 万)。据研究人员介绍,HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施,目前 HNS 主要是针对不安全的物联网设备,尤其是 IP 摄像机。 Bitdefender 的安全研究人员发现 HNS 僵尸网络于 2018 年 1 月 10 日首次出现,和其他与 Mirai 有关的物联网(IoT)僵尸网络并不相同。因为 HNS 有着不同的起源,且不共享其源代码。事实上,Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为 HNS 与 Hajime 僵尸网络更为相似。 Bitdefender 的研究人员在 1 月 24 日发表的博客文章中写道: “ HNS 僵尸网络以复杂并且分散的方式进行通信,使用多种防篡改技术来防止第三方劫持。” 其僵尸程序可以通过与 Reaper 相同的漏洞( CVE-2016-10401 和其他针对网络设备的漏洞),对一系列设备进行 Web 开发。 除此之外,HNS 还可以执行多个命令,包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性,可以随机生成一个 IP 地址列表来获得潜在的目标,随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。 一旦连接成功,僵尸程序将查找设备提供的 “ buildroot login ” 横幅,并尝试使用一组预定义凭据进行登录。如果失败,它会试图通过使用硬编码列表的字典攻击来破解设备的密码。 其次,若用户设备与僵尸程序具有相同的局域网,那么僵尸程序将会设置 TFTP 服务器,以便受害者能够下载样本。但如果是位于互联网上,僵尸程序将尝试一种特定的远程有效载荷传递方法,让用户设备下载并运行恶意软件样本。 一旦设备被感染,僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的 12 个受损设备增加到 2 万多个。 但幸运的是,像大多数物联网僵尸网络一样,HNS 僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动, 受感染的设备中就可以自动删除恶意软件。 目前 Bitdefender 的研究人员尚未发现 HNS 僵尸网络具有 DDoS 功能,这意味着 HNS 将被部署为一个代理网络。另外,研究人员透露 HNS 僵尸网络仍然不断变化中,可能会被应用于多种攻击场景。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
Mirai Okiru:首个旨在感染 ARC CPU 的新型 Linux ELF 恶意软件
外媒 1 月 14 日信息,MalwareMustDie 团队首次发现了一种用于感染 ARC CPU 的 Linux ELF 恶意软件—— Mirai Okiru,旨在针对基于 ARC 的系统。据悉,Mirai Okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到,再加上目前 Linux 物联网的威胁形势迅速变化,因此研究人员认为攻击者将会利用 Mirai Okiru 瞄准基于 ARC CPU 的物联网设备,从而导致毁灭性的影响。 ARC (Argonaut RISC Core)嵌入式处理器是一系列由 ARC International 设计的32 位 CPU,其广泛用于存储、家用、移动、汽车和物联网应用的 SoC 器件。 2016 年 8 月,MalwareMustDie 团队的研究员 unixfreaxjp 首先发现了 Mirai 僵尸网络 ,时隔不到两年, unixfreaxjp 又注意到恶意软件社区出现了新的攻击形式——Mirai Okiru,其影响程度极为深远,因为 ARC 嵌入式处理器已经被 200 多个组织授权,并且每年出货量达到 15 亿,这意味着可能暴露的设备数量是非常巨大的。此外,除了攻击 ARC,其他恶意目的也可能存在。 为了更加深入了解 Mirai Okiru ,MalwareDustdie 团队分析了 Okiru 与 Satori 变体(另一种僵尸网络)的不同之处: 1、配置不同,Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密,而 Satori 并不分割这两个部分,也不加密默认密码。并且 Okiru 的远程攻击登录信息稍长一点(最多可以达到 114 个凭证),而 Satori 则拥有不同和更短的数据库。 2、Satori 似乎可以利用 “ TSource Engine Query ”进行分布式反射拒绝服务(DRDoS)功能(通过随机 UDP),而 Okiru 则没有这个功能。 3、在 Okiru 和 Satori 的配置中,感染跟进的命令有点不同,也就说他们没有共享相同的 herding 环境。 4、四种类型的路由器漏洞利用代码只被发现在 Okiru 变体中硬编码,Satori 完全不使用这些漏洞 。 5、Satori (见反编码的 VT 注释部分)是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件,与 Okiru 相比其编码方面存在不同 (请参阅反转代码在 VT 注释中)。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
2017 上半年 DDoS 攻击数量倍增,罪魁祸首竟然是它?
网络安全公司 Corero 于近期发布一份报告,宣称 2017 上半年的 DDoS 攻击数量增加一倍,起因竟是各企业及用户所使用的不安全物联网(IoT)设备。据称,只要用户设备在线联网,其拒绝服务(DDoS)攻击就将存在。倘若企业依赖互联网销售产品或协作,那么 DDoS 攻击不仅仅是一个麻烦,更将影响企业后续发展。 在过去数年内,DDoS 攻击的数量在 “猫捉老鼠” 的演变过程中呈缓慢趋势增长,即犯罪分子一旦加强攻击,其网络供应商就会进行弹性防御。然而,此类攻击一般都来自被感染的计算机和服务器组成的僵尸网络。不过,由于在僵尸网络中获取和维护这些系统的成本相对较高,因此在攻击发展的速度方面存在经济限制。 但是,僵尸网络 Mirai 的开发人员就很 “聪明”, 并未针对安全团队或安全设施开展攻击,而是把重点瞄准数百万家用物联网设备,例如利用网络摄像头与互联网路由器构建僵尸网络开展 DDoS 攻击。由于 Mirai 无需任何安全措施检测,因此它能在肆意感染的同时发起比以往更大的攻击活动。 根据 Arbor Networks 2016 年年底的报告显示,物联网设备已然成为 DDoS 攻击来源。到目前为止,这些大规模的攻击还未利用反射/放大技术展开。相关数据显示,DDoS 攻击的数量在 2015 年显著上升,其攻击的平均规模和时间也在不断增加。由卡巴斯基 2016 年第四季度 DDoS 情报报告得知,DDoS 攻击持续时间最长为 292 小时(或 12.2 天),明显长于上一季度( 184 小时或 7.7 天),创下 2016 年的纪录。 研究人员表示,目标企业现平均每天遭受 8 次 DDoS 攻击,均由不安全物联网设备和 DDoS 出租服务导致。虽然大规模的 DDoS 攻击正得到媒体关注,但这只是攻击的一小部分。然而,最令人感兴趣的是,2017 年第二季度发生的第五次 DDoS 攻击使用了多种媒介进行,旨在规避安全软件检测。目前,只需要每小时 20 美元,任何黑客都可采用僵尸网络针对目标企业发动攻击。此外,网络犯罪分子已经将 DDoS 攻击作为一项有利可图的开发项目,这就意味着拒绝服务攻击的活动仍将继续。 关联阅读: ○ 卡巴斯基实验室 《黑色星期五威胁报告》(英文) ○ 卡巴斯基实验室《2017 年第三季度的 DDoS 攻击报告》(英文) ○ 卡巴斯基实验室《2018 年威胁预测》(英文) 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
新木马以 Windows 为跳板传播恶意软件 Mirai
安全公司 Dr.Web 发现一种 Windows 木马 Trojan.Mirai.1 。黑客正在使用它传播恶意软件 Mirai 、感染物联网设备进行大规模 DDoS 攻击。 Windows 木马传播恶意软件 Mirai 该 Windows 木马被称为 Trojan.Mirai.1 ,其最重要的功能就是帮助 Mirai 感染更多的设备。木马使用 C ++ 语言编写,用于扫描指定范围 IP 地址的 TCP 端口,以便执行命令、传播恶意软件。木马启动后将连接命令和控制服务器下载配置文件( wpd.dat )、提取 IP 地址列表,并对设备多个端口进行扫描。如果感染设备运行 Linux 操作系统,它将执行一系列命令将其纳入 Mirai 僵尸网络,如果感染设备运行 Windows 系统,它将潜伏下来并继续传播寻找新目标。 Mirai Windows 版本针对更多端口 22 – Telnet 23 – SSH 135 – DCE/RPC 445 – Active Directory 1433 – MSSQL 3306 – MySQL 3389 – RDP 值得注意的是,木马虽然扫描 3389 端口但不通过 RDP 协议连接设备执行指令,而是通过 Telnet 、SSH 等端口连接到 Linux 设备,执行相关操作。 此外,木马还执行其他恶意操作。如果被攻击的计算机含有数据库管理系统 Microsoft SQL Server ,它将创建登录名:Mssqla 密码:Bus3456#qwein ,以管理员权限执行窃取数据等恶意操作。 以下是 Trojan.Mirai.1 的 SHA1 9575d5edb955e8e57d5886e1cf93f54f52912238 f97e8145e1e818f17779a8b136370c24da67a6a5 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e 938715263e1e24f3e3d82d72b4e1d2b60ab187b8 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。