锁定老旧联网设备的攻击行动层出不穷,原因是这类设备很久以前就已进入生命周期结束(EOL)的状态,厂商不会提供更新软件修补相关漏洞,使得攻击者有机会持续用来发动攻击。
例如,安全企业Akamai最近披露的僵尸网络攻击事故,就是典型的例子。他们发现台厂永恒数字通信科技(Digiever)旗下网络视频监视设备(NVR)DS-2105 Pro遭到锁定,攻击者针对一项漏洞而来,借此传播僵尸网络病毒Mirai的变种Hail Cock,其特别之处在于,黑客运用了ChaCha20、XOR算法进行处理有效酬载,而能够回避安全系统侦测。
这起事故的发现,源于Akamai安全事件回应团队(SIRT),他们在11月中旬发现针对全球蜜罐陷阱特定URI的攻击,当时他们初步分析认为,这是一起以Mirai为基础的恶意软件攻击行动,至少从10月开始进行,过程中黑客利用一项尚未登记CVE编号的漏洞。
而对于这项漏洞,Akamai提到,他们并非是最早发现这项漏洞的人,而是另一家安全企业TXOne Networks的研究人员Ta-Lun Yen,他特别提及这项弱点可被攻击者用于远程执行任意程序代码(RCE),影响DS-2105 Pro及多款DVR设备。
Akamai研究人员进一步调查,黑客称呼他们的僵尸网络叫做Hail Cock Botnet,并确认攻击者很有可能从9月就开始活动,并专门针对物联网设备漏洞而来,值得留意的是,攻击者不仅锁定DS-2105 Pro,也通过CVE-2023-1389漏洞攻击网络设备商TP-Link的产品。
除了上述两款设备,研究人员还提到其他两款攻击者锁定的目标产品,分别是腾达(Tenda)路由器HG6,以及立陶宛物联网设备企业Teltonika旗下的路由器产品线RUT9XX。
攻击通常从黑客发出HTTP POST请求开始,从而于目标设备植入僵尸网络病毒,一旦他们找到尚未修补固件的设备,就有机会利用漏洞进行控制。
接着,攻击者就会通过cron排定恶意程序执行的时间,以便持续在受害设备活动,并从特定域名下载其他有效酬载。研究人员提及,攻击者使用动态的C2,因此即使基础架构产生变化,也能确保进行相同的作业流程。
