新闻快讯
< >

10万“肉鸡”组成的新型Mirai僵尸网络变种来袭

E安全11月28日讯 上周,安全专家发现约10万IP在不到三天时间疯狂扫描存在漏洞的ZyXEL(合勤) PK5001Z路由器,断定新型Mirai变种正在快速传播。

PoC漏洞利用代码发布成导火索

奇虎360网络安全研究院(Netlab)安全研究员表示,发布在公共漏洞数据库中的PoC漏洞利用代码是这个僵尸网络活动激增的根本原因。PoC代码发布时间为10月31日,并触发了ZyXEL PK5001Z路由器中的漏洞——CVE-2016-10401(2016年1月被公开)。ZyXEL PK5001Z路由器使用的硬编超级用户密码(zyad5001)能用来提权至Root权限。

360网络安全研究院指出,自2017-11-22 11:00开始,他们发现端口2323、端口23的扫描流量猛增,近10万个来自阿根廷的IP在进行疯狂扫描。扫描活动于2017-11-23白天达到峰值。

10万“肉鸡”组成的新型Mirai僵尸网络变种来袭-E安全

经调查后,研究人员认为这是一个新型Mirai变种。360网络安全研究院通过蜜罐发现,最近有两个Telnet凭证被频繁使用:

  • admin/CentryL1nk;

  • admin/QwestM0dem。

PoC代码使用这两个凭证登录了远程ZyXEL设备,然后使用硬编超级用户密码取得Root权限。
蜜罐发现的时间曲线与360NetworkScan Mon 系统扫描曲线比较一致,360NetworkScan Mon 系统与蜜罐发现的滥用IP来源存在重合:

  • admin/CentryL1nk :  1125个IP中748个重合,重合率66.5%

  • admin/QwestM0dem :  1694个IP中有1175个重合,重合率69.4%。

这说明,由10万设备组成的僵尸Mirai僵尸网络正在搜索存在漏洞的ZyXEL设备。其中6.57万台“肉鸡”位于阿根廷,因为当地ISP Telefonica为设备提供了公开PoC中包含的默认凭证。
安全研究人员Troy Mursch(特洛伊·莫尔什么)证实,大多数扫描器IP来自阿根廷,准确地说是来自阿根廷Telefonica的网络。

10万“肉鸡”组成的新型Mirai僵尸网络变种来袭-E安全

影响范围

ZyXEL(合勤)为台湾地区的企业,为全球网络设备及解决方案供应商,向企业用户提供DSL 路由器等设备。因此台湾地区很可能受此次漏洞影响。

使用ZyXEL PK5001Z路由器的用户不用过分紧张。Mirai僵尸程序不具有持续机制,受感染的设备重启时就能根除该程序。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。