鎖定老舊連網設備的攻擊行動層出不窮,原因是這類設備很久以前就已進入生命週期結束(EOL)的狀態,廠商不會提供更新軟體修補相關漏洞,使得攻擊者有機會持續用來發動攻擊。

例如,資安業者Akamai最近揭露的殭屍網路攻擊事故,就是典型的例子。他們發現臺廠永恒數位通訊科技(Digiever)旗下網路視訊監視設備(NVR)DS-2105 Pro遭到鎖定,攻擊者針對一項漏洞而來,藉此散布殭屍網路病毒Mirai的變種Hail Cock,其特別之處在於,駭客運用了ChaCha20、XOR演算法進行處理有效酬載,而能夠迴避資安系統偵測。

這起事故的發現,源於Akamai資安事件回應團隊(SIRT),他們在11月中旬察覺針對全球蜜罐陷阱特定URI的攻擊,當時他們初步分析認為,這是一起以Mirai為基礎的惡意軟體攻擊行動,至少從10月開始進行,過程中駭客利用一項尚未登記CVE編號的漏洞。

而對於這項漏洞,Akamai提到,他們並非是最早發現這項漏洞的人,而是另一家資安業者TXOne Networks的研究人員Ta-Lun Yen,他特別提及這項弱點可被攻擊者用於遠端執行任意程式碼(RCE),影響DS-2105 Pro及多款DVR設備。

Akamai研究人員進一步調查,駭客稱呼他們的殭屍網路叫做Hail Cock Botnet,並確認攻擊者很有可能從9月就開始活動,並專門針對物聯網裝置漏洞而來,值得留意的是,攻擊者不僅鎖定DS-2105 Pro,也透過CVE-2023-1389漏洞攻擊網路設備商TP-Link的產品。

除了上述兩款設備,研究人員還提到其他兩款攻擊者鎖定的目標產品,分別是騰達(Tenda)路由器HG6,以及立陶宛物聯網設備業者Teltonika旗下的路由器產品線RUT9XX。

攻擊通常從駭客發出HTTP POST請求開始,從而於目標設備植入殭屍網路病毒,一旦他們找到尚未修補韌體的設備,就有機會利用漏洞進行控制。

接著,攻擊者就會透過cron排定惡意程式執行的時間,以便持續在受害裝置活動,並從特定網域下載其他有效酬載。研究人員提及,攻擊者使用動態的C2,因此即使基礎架構產生變化,也能確保進行相同的作業流程。

熱門新聞

Advertisement