前言

趨勢科技告警稱大約12萬臺基于多家原始設備制造商產品的網絡攝像頭機型易受一種新型物聯網僵尸網絡Persirai的攻擊。

新型物聯網僵尸網絡Persirai現身

Persirai針對1000多種互聯網攝像頭機型發(fā)起攻擊，而多數用戶并未意識到這一點。結果攻擊者就能通過TCP端口81輕易訪問設備的web接口。

由于互聯網攝像頭一般使用的是UPnP協(xié)議，設備能夠打開路由器上的一個端口并起到服務器的作用，因此它們是物聯網惡意軟件非常容易發(fā)現的目標。通過訪問這些設備易受攻擊的接口，攻擊者能夠注入命令強制設備連接至某個站點，并下載執(zhí)行惡意shell腳本。

Persirai在易受攻擊的設備上執(zhí)行后就會自刪除并持續(xù)僅在內存中運行。另外它還會攔截自己使用的0day利用代碼以阻止其他攻擊者攻擊同樣的互聯網攝像頭。由于惡意代碼在內存中運行，因此重啟還會導致設備易受攻擊。

受影響的互聯網攝像頭向多個C&C服務器匯報（load.gtpnet.ir、ntp.gtpnet.ir、185.62.189.232和95.85,38.103）。一旦從服務器中接收到命令，受感染設備就會自動開始利用一個公開的0day漏洞攻擊其它互聯網攝像頭，攻擊者能從用戶那里獲得密碼文件并執(zhí)行命令注入。Persirai僵尸網絡能夠通過UDP洪水發(fā)動DDoS攻擊并且在不欺騙IP地址的情況下通過SSDP包發(fā)動攻擊。

安全研究人員設法將僵尸網絡跟使用.ir國家代碼的C&C服務器聯系在一起。這個代碼是由一家伊朗研究機構管理的而且只能由伊朗人使用。此外，這款惡意軟件的代碼包含一些特別的波斯字符。

Persirai似乎構建于Mirai源代碼基礎之上，后者披露于去年的10月份。Persirai還會針對安裝了最新固件版本的設備，并且無法通過使用強密碼得到延緩，因為它會利用一個竊取密碼的漏洞。因此，互聯網攝像頭所有人應當執(zhí)行其它安全措施來保護設備安全。

后記

安全研究人員指出，“物聯網安全的責任不應當僅依靠用戶，廠商本身也應當負責，因為后者應當確保設備是安全的且不斷更新。因此，用戶應當確保設備安裝了最新固件以將漏洞利用的幾率最小化?！?/p>

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。