新的Mirai僵尸网络变种涉及27个漏洞，瞄准企业设备

一个新的Mirai变种带来了11个新的漏洞攻击，企业WePresent WiPG-1000无线演示系统和LG Supersign TV是最显眼的目标。

网络安全公司Palo Alto Networks 9月初的一份报告指出，Mirai僵尸网络切换了目标，利用去年的Equifax攻击事件中使用的漏洞攻击Apache Struts服务器，同时新的Gafgyt僵尸网络则瞄准了SonicWall防火墙，这是对企业资产的进一步攻击。

在这两种情况下，Unit  42的安全研究人员都发现了攻击中使用的旧漏洞和已经修补过的漏洞，这表明了不法分子试图通过破坏受 严重安全漏洞 影响的未修补设备（例如Apache Struts的CVE-2017-5638）来攻击设备。

Mirai所能攻击的企业设备不断增加

这一次，如前所述，研究人员发现，除了经常利用的路由器，网络摄像机，调制解调器路由器和无线控制器等目标之外，2019年1月检测到的新Mirai版本现在也能扫描和利用企业环境中的LG Supersign电视和WePresent WiPG-1000无线演示系统。

最重要的是，由于其创造者增加了11个新的漏洞用于攻击，总数现已达到27。正如Unit 42进一步发现的那样，僵尸网络的恶意利用代码托管在哥伦比亚公司的服务器上，具有讽刺意味的是， 该服务器提供“电子安全，集成和警报监控”服务。

“这些新功能为僵尸网络提供了一个巨大的攻击面。特别是，瞄准企业线也可以使其获得更大的带宽，最终为僵尸网络提供更强大的火力来进行DDoS攻击，”Unit 42表示。

新增的漏洞利用

Unit 42发现的新Mirai变种还有一些新功能：

• 它使用与mirai相同的加密方案，表键为0xbeafded。
• 当使用这个密钥解密字符串时，我们发现了一些不寻常的暴力破解默认凭证，一些我们现在才知道的默认凭证。
• 域名epicrustserver[.]cf的23823端口的cf用于C2通信。
• 除了扫描存在漏洞的设备，新版本还可以命令发出HTTP Flood DDoS攻击。

Mirai是由Paras Jha，Josiah White和Dalton Norman创建的自我传播的僵尸网络，最初设计目标是物联网（IoT）设备，如路由器，数字视频录像机和IP摄像机，攻击成功后将它们转换为“僵尸”，以后可用作DDoS攻击。

在2016年，一些不法分子传播巨大的Mirai僵尸网络，这些僵尸网络由数十万台受感染的设备组成，能够造成超过650Gbps的DDoS攻击，并在这次活动中设法影响了数十万个设备[1, 2] 。

尽管创作者被抓住，但Mirai仍然很强大

这一切都始于Jha 2016年在黑客论坛上发布Mirai的源代码之后，从那时起，其他不法分子已经习惯使用他共享的代码作为起点创建大量其他僵尸网络，其中大多数的复杂程度是一样的，但偶尔添加新的和更复杂的攻击工具[1, 2, 3, 4, 5, 6]。

他们的“杰作”还在被其他人不断地改进，并且它仍然很强大，如Unit 42关于新Mirai变种的最新报告所说的那样  ，Jha，White和Norman 因其创建恶意软件在2018年12月被指控并认罪。在2017年1月 Jha第一次被联邦调查局审讯后，美国当局在2017年5月对其中三人进行了调查。

根据2014年10月26日发布的美国司法部的一份报告，Paras Jha在2018年10月被判刑，并下令“支付860万美元的赔偿金并在家监禁6个月”  。

Mirai背后的团体被判处五年缓刑期，并提供2,500小时的社区服务，并支付127,000美元作为赔偿金，同时还不得不放弃在调查期间查获的加密货币。在他们协助联邦调查局进行其他网络犯罪调查后，刑期被取消。

来源：https://www.bleepingcomputer.com/news/security/new-mirai-variant-comes-with-27-exploits-targets-enterprise-devices/