5月12日訊 Persirai控制眾多存在安全缺陷之IP攝像頭。一款名為Persirai的僵尸網(wǎng)絡構建軟件再次掀起波瀾，其采用部分Mirai僵尸網(wǎng)絡(去年十月披露)代碼片段，已將高達15萬可被Mirai入侵的臺IP攝像頭收入自身麾下，并利用其發(fā)動大規(guī)模分布式拒絕服務攻擊。

Persirai僵尸網(wǎng)絡至少已經(jīng)向四大目標發(fā)動攻勢，而Trend Micro公司的研究人員則開始從中找到一種可預測模式。

【物聯(lián)網(wǎng)預警】全球不同廠商1250種型號的攝像頭存在共同漏洞-E安全

Persirai僵尸網(wǎng)絡感染方式

Persirai利用一項已知安全漏洞對各攝像頭進行感染，引導其通過某臺命令與控制服務器下載惡意軟件，而后利用這些設備感染其它攝像頭或者發(fā)動DDoS攻擊。

研究人員們表示，“根據(jù)觀察結果，一旦受害者的IP攝像頭收取到準時于每天午夜12點發(fā)出的命令與控制指令，DDoS攻擊即宣告開始。”目前至少已經(jīng)有四位受害者遭遇相關DDoS攻擊的侵擾，但他們不方便透露其具體身份。

Persirai僵尸網(wǎng)絡能夠通過UDP洪水發(fā)動DDoS攻擊并且在不欺騙IP地址的情況下通過SSDP包發(fā)動攻擊。

Persirai在易受攻擊的設備上執(zhí)行，即在惡意軟件下載完成后，會自動將磁盤上的保存痕跡徹底刪除，然后只在內(nèi)存中運行。由于惡意代碼在內(nèi)存中運行，因此重啟還會讓設備更易受到攻擊。

有趣的是，Trend公司研究人員表示，受感染 IP 攝像機還將遠程報告給 C&C 服務器、接受命令并自動利用近期公布的 0day 漏洞防御其他黑客再度攻擊已被感染的 IP 攝像機,從而獲得用戶密碼文件并執(zhí)行命令注入。

奇怪：被感染設備數(shù)量在減少

Trend公司認為，目前來自多家制造商的超過1000種型號的攝像頭易受到攻擊威脅。研究人員同時表示，今年4月前兩周在進行初始調(diào)查時，該僵尸網(wǎng)絡當時就已經(jīng)感染了約15萬臺攝像頭。但在5月10日最新調(diào)查后發(fā)現(xiàn)，其感染量為9萬9千臺。另外，通過物聯(lián)網(wǎng)搜索引擎Shodan發(fā)現(xiàn)，約有12萬臺攝像頭易受到攻擊影響。多數(shù)受害者未能察覺自身設備已經(jīng)暴露于互聯(lián)網(wǎng)之中。

【物聯(lián)網(wǎng)預警】全球不同廠商1250種型號的攝像頭存在共同漏洞-E安全

根據(jù)Trend方面的判斷，發(fā)現(xiàn)其命令與控制服務器當中使用了.IR國家碼，其中可能暗含著與Persirai編寫者相關的線索。這條國家碼由健康研究機構負責管理，并確保僅供伊朗人使用。我們還發(fā)現(xiàn)惡意軟件作者在編寫中使用了部分特殊的波斯語字符。”

獨立研究人員皮埃爾·基姆(Pierre Kim)闡述了Persirai如何入侵攝像頭。“首先由‘云’協(xié)議利用目標攝像頭的產(chǎn)品序列號在攻擊者與攝像頭間建立起明文UDP通道(旨在繞過NAT及防火墻)。在此之后，攻擊者即可通過自動方式暴力破解攝像頭憑證。”

根源：內(nèi)置Mirai片段

基姆同時解釋稱，這項漏洞存在于總計1250種型號的攝像頭之內(nèi)，且涵蓋眾多廠商及品牌。

攻擊者能通過TCP端口81輕易訪問設備的web接口。由于互聯(lián)網(wǎng)攝像頭一般使用的是UPnP協(xié)議，設備能夠打開路由器上的一個端口并起到服務器的作用，因此它們是物聯(lián)網(wǎng)惡意軟件非常容易發(fā)現(xiàn)的目標。通過訪問這些設備易受攻擊的接口，攻擊者能夠注入命令強制設備連接至某個站點，并下載執(zhí)行惡意shell腳本。

“因此，盡管各款攝像頭擁有不同的產(chǎn)品名稱、品牌與功能，且各供應商使用的HTTP接口有所區(qū)別，但其仍然共享有同樣的漏洞。OEM廠商使用了GoAhead(一款嵌入式Web服務器)的定制化版本，并向其中添加了易受攻擊的代碼片段。”

Alien Vault則發(fā)現(xiàn)Persirai當中包含部分Mirai代碼。即此僵尸網(wǎng)絡借用了來自Mirai的部分代碼，例如端口掃描模塊，但在感染鏈、C2通信協(xié)議以及攻擊模塊方面則完全不同。盡管直接借用了Mirai中的部分二進制名稱，但E安全小編建議不應簡單將其視為Mirai的變體。”

除此之外，E安全小編強烈建議大家立即斷開攝像頭與互聯(lián)網(wǎng)間的連接。