行业新闻与博客

安全公司 Fortinet 的研究部门 FortiGuard Labs 发现了基于 IZ1H9 Mirai 的 DDoS 活动的重大演变。 

据报道，这一新活动于 9 月份发现，并在周一发布的公告中进行了描述，据报道，该活动已迅速更新其漏洞库，包含 13 个不同的有效负载，针对不同物联网 (IoT) 设备上的各种漏洞。

9 月 6 日是利用高峰期，触发次数达到数万次。这凸显了该活动通过新发布的漏洞利用代码（包含多个 CVE）感染易受攻击的设备并迅速扩展其僵尸网络的能力。

漏洞利用有效负载主要针对 D-Link、Netis、Sunhillo SureLine、Geutebruck、Yealink Device Management、Zyxel、TP-Link Archer、Korenix JetWave 和 TOTOLINK 设备中的漏洞。每个有效负载都是针对利用特定漏洞而定制的，范围从命令注入到远程代码执行（RCE）。

注入的有效负载从特定 URL 启动 shell 脚本下载器“l.sh”。它继续删除日志，下载并执行适用于 Linux 架构的各种机器人客户端，并阻止多个端口上的网络连接。

IZ1H9 是 Mirai 的变种，它会感染基于 Linux 的物联网设备，使它们成为远程控制的机器人，进行大规模网络攻击。其配置使用 XOR 密钥进行解码，显示额外的有效负载下载器 URL，以及用于暴力攻击的预设登录凭据。

受感染设备和命令服务器之间的命令与控制 (C2) 通信非常详细，展示了该活动在使用特定参数发起 DDoS 攻击方面的复杂性。

Fortinet 研究员 Cara Lin 表示，该研究强调了 RCE 攻击对物联网设备造成的持续威胁。 

“尽管针对这些漏洞提供了补丁，但漏洞触发的数量仍然高得惊人，通常达到数千个，” 她写道。

“放大 IZ1H9 活动影响的是对其利用的漏洞的快速更新。一旦攻击者获得对易受攻击设备的控制，他们就可以将这些新受感染的设备合并到他们的僵尸网络中，从而使他们能够发起进一步的攻击，例如 DDoS 攻击和暴力破解。”Lin 补充道。

为了减轻这种威胁，敦促组织立即应用补丁并更改其设备的默认登录凭据。