Mirai DDoS 恶意软件变种正在利用路由器漏洞扩大攻击目标

Bleeping Computer 网站消息 
，意软基于 Mirai 的变击目 DDoS 恶意软件僵尸网络 IZ1H9 近期又开始活跃了，为 D-Link 、种正Zyxel 、利用路由TP-Link、器漏TOTOLINK 等 Linux 路由器“添加”了 13 个新有效载荷 。洞扩大攻

Fortinet 安全研究人员表示 9 月份的意软第一周， IZ1H9  恶意软件的变击目利用率达到了历史峰值 ，针对易受攻击设备的种正利用尝试达到了数万次。IZ1H9 在成功入侵受害者设备后，利用路由便将其加入 DDoS 群，建站模板器漏然后对指定目标发起 DDoS 攻击。洞扩大攻

整个 9 月份观察到的意软利用尝试（Fortinet）

IZ1H9 瞄准众多攻击目标

众所周知，DDoS 恶意软件盯上的变击目设备和漏洞越多
，就越有可能建立一个庞大而强大的种正僵尸网络，以此对目标网站进行大规模攻击
。就 IZ1H9 而言，Fortinet 报告称它使用了以下多个漏洞 ，时间跨度从 2015 年到 2023 年 ：

D-Link 设备： CVE-2015-1187、CVE-2016-20017、CVE-2020-25506、CVE-2021-45382Netis WF2419 ：CVE-2019-19356Sunhillo SureLine(8.7.0.1.1 之前的云计算版本)
： CVE-2021-36380Geutebruck 产品 ： CVE-2021-33544 、CVE-2021-33548 、CVE-2021-33549、CVE-2021-33550 
、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562Zyxel EMG3525/VMG1312(V5.50 之前)   ： CVE 未指定，但针对 Zyxel 裝置的 /bin/zhttpd/ 元件漏洞TP-Link Archer AX21 (AX1800)： CVE-2023-1389Korenix JetWave 无线 AP ： CVE-2023-23295TOTOLINK 路由器 CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083

不仅如此 ， IZ1H9 网络攻击活动还针对与"/cgi-bin/login.cgi "路由相关的未指定 CVE，这可能会影响 Prolink PRC2402M 路由器。

攻击链详情分析

在成狗利用上述漏洞后 ，源码库IZ1H9 有效载荷就会被立刻注入到受害者目标设备，其中包含一条从指定 URL 获取名为 "l.sh "的 shell 脚本下载器的命令
。脚本执行后 ，会删除日志以隐藏恶意活动，接下来  ，它会获取针对不同系统架构定制的机器人客户端。

最后，脚本会修改设备的 iptables 规则，以阻碍特定端口的连接，模板下载增加设备管理员从设备上删除恶意软件的难度。

完成上述所有操作后，IZ1H9 僵尸网络就会与 C2（命令与控制）服务器建立通信 ，并等待执行命令。据悉
，支持的命令涉及要发起的 DDoS 攻击类型，主要包括 UDP、UDP Plain 、HTTP Flood 和 TCP SYN等。

DDoS 命令（Fortinet）

Fortinet 还在报告中指出 ，IZ1H9 的服务器租用数据部分包含用于暴力破解攻击的硬编码凭证。以上这些攻击可能有助于传播到受害目标的相邻设备中，或对没有有效利用的 IoT 进行身份验证。 

硬编码凭证（Fortinet）

最后，网络安全专家建议物联网设备所有者使用强大的管理员用户凭据，并将其更新为最新可用的固件版本，在可能的情况下，尽量减少设备在公共互联网上暴露的高防服务器频次。

文章来源：https://www.bleepingcomputer.com/news/security/mirai-ddos-malware-variant-expands-targets-with-13-router-exploits/