恶意软件托管域分发多种Mirai变体,影响Tenda、华为等公司
AT&T Alien Labs 观察到名为Moobot的Mirai僵尸网络变种,用于扫描 Tenda 路由器中已知但隐蔽的漏洞,引起了内部遥测相当大的峰值,进一步调查发现了恶意软件托管域Cyberium,并在其中发现了数个Mirai变种,如 Moobot 和 Satori。 分析 3 月底,AT&T Alien Labs 观察到 Tenda 远程代码执行 (RCE) 漏洞 CVE-2020-10987 的利用尝试激增。该漏洞不常被网络扫描器使用,在过去六个月中几乎没有检测到。这个漏洞可以通过请求的 URL 来识别,其中包括“setUsbUnload”和分配给易受攻击参数“deviceName”的有效负载。此有效负载包含将执行路径更改为临时位置、从恶意软件托管页面获取文件、提供执行权限并执行它的指令。 图 1. BinaryEdge Sensor 检测漏洞扫描 当时攻击者对 Tenda 路由器的漏洞扫描只持续了一天,但对其余设备的扫描活动却持续了数周时间,涉及到的设备漏洞如下: 端口 80 和 8080:Axis SSI RCE。 端口 34567:DVR扫描器尝试默认凭...
