歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

針對中國同為數碼的新型IoT惡意程序Amnesia,影響全球各地22.7萬臺設備

來源:本站整理 作者:佚名 時間:2017-04-12 TAG: 我要投稿

 日前,由42位安全研究人員共同確定披露了關于此前基于IoT/Linux的‘Tsunami’僵尸網絡新變體Amnesia。Amnesia僵尸網絡是一種目前發現的較新的僵尸網絡,它允許攻擊者利用未修補的遠程代碼執行漏洞攻擊其硬盤錄像機( DVR )設備。 早在去年3月份 ,該漏洞就已被安全研究人員在TVT Digital制造的DVR(硬盤錄像機)設備中被發現,并波及了全球70多家的供應商品牌。根據我們的掃描數據顯示(圖1),全球有超過22.7萬臺設備受此影響,而臺灣、美國、以色列、土耳其和印度為主要分布區。

圖1:存在漏洞的TVT Digital DVR全球分布情況

此外安全人員認為,Amnesia惡意軟件是第一個采用虛擬機逃逸技術躲避沙箱的Linux惡意軟件。虛擬機逃逸技術通常與 Windows 或安卓惡意軟件相關聯。如果僵尸網絡 Amnesia 運行于 VirtualBox、VMware 或 QEMU 虛擬機中,它將通過刪除文件系統中的所有文件去除虛擬化 Linux 系統。據悉,這不僅影響 Linux 惡意軟件分析沙箱的正常運行,還會導致 Linux 服務器出現異常。

Amnesia會通過掃描發現并定位那些易受攻擊的系統,并利用其存在的遠程代碼執行漏洞實施攻擊。一旦成功,Amnesia將能夠完全控制目標設備。攻擊者還可能會利用Amnesia僵尸網絡,發起類似于2016的大規模 Mirai僵尸網絡的攻擊 活動。

盡管該漏洞早在一年前就被安全人員披露,但在當時并未引起供應商們的注意,因此問題也一直未得到有效解決!

雖然目前來看,Amnesia僵尸網絡并未被用于進行大規模的攻擊活動。但是去年的Mirai僵尸網絡攻擊,已經讓我們看到了它的潛在威脅。Palo Alto Networks建議,所有客戶應該做好最新的安全防護措施,并盡可能的阻止流量到Amnesia指令。

技術細節

漏洞詳情

2016年3月22日,安全研究員Rotem Kerner向公眾披露了該漏洞。他在 他的博客 中寫道,全球有70多家DVR廠商受此影響。而所有DVR設備,則都是由同一家公司“TVT Digital”所制造。到目前為止,我們一直未得到供應商或制造商的回復及漏洞修復補丁。

另外,通過“跨網絡服務器”的指紋我們發現了,全球范圍內有超過22.7萬臺曝露在互聯網上的設備,可能為TVT Digital公司生產。我們還分別使用了 Shodan.io 和 Censys.io 上的關鍵字進行了搜索,它們分別報告了大約50,000和約705,000個相關IP地址。

表1列出了前20位潛在易受 TVT Digital DVR設備漏洞影響的國家:

1. Taiwan 47170
2. United States 44179
3. Israel 23355
4. Turkey 11780
5. India 9796
6. Malaysia 9178
7. Mexico 7868
8. Italy 7439
9. Vietnam 6736
10. United Kingdom 4402
11. Russia 3571
12. Hungary 3529
13. France 3165
14. Bulgaria 3040
15. Romania 2783
16. Colombia 2616
17. Egypt 2541
18. Canada 2491
19. Iran 1965
20. Argentina 1748

漏洞利用與傳播

Amnesia使用IRC協議與其C2服務器建立通信。圖2顯示了一些旨在接收的命令,包括通過不同類型的HTTP泛洪和UDP泛洪來執行DDoS

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐