详细内容或原文请订阅后点击阅览
通过利用CVE-2024-3721
使用新的感染方法,Mirai Botnet的新变体将CVE-2024-3721利用CVE-2024-3721。来自俄罗斯网络安全公司Kaspersky的研究人员发现了Mirai Botnet的一种新变体,该变体在TBK DVR-4104和DVR-4216数字视频录制设备中利用了指挥注射漏洞(CVE-2024-3721)。在评论[…]
来源:Security Affairs _恶意软件通过利用CVE-2024-3721
使用新的感染方法,Mirai Botnet的新变体将CVE-2024-3721利用CVE-2024-3721。
俄罗斯网络安全公司卡巴斯基的研究人员发现了Mirai僵尸网络的一种新变体,该变体在TBK DVR-4104和DVR-4216数字视频录制设备中利用了命令注射漏洞(CVE-2024-3721)。
Mirai 命令注射漏洞 CVE-2024-3721在对其Linux Honeypot系统中的日志进行审查时,研究人员注意到可疑帖子请求与CVE-2024-3721的潜在剥削有关。
“该请求包含一个恶意命令,该命令是一个单线外壳脚本,该脚本在受损的机器上下载并执行ARM32二进制文件。”阅读分析。
读取分析“通常,机器人感染涉及最初调查目标机器以确定其架构并选择相应二进制的外壳脚本。但是,在这种情况下,由于该攻击专门针对仅支持ARM32二进制文件的设备,因此侦察阶段是不必要的。”
Mirai Botnet的源代码将近十年前公开,此后已被网络犯罪分子广泛重复使用和修改,以便为大型僵尸网络提供动力。最新的以DVR为中心的变体也建立在Mirai的基础上,但引入了新功能,例如RC4弦加密,反Virtual Machine检查和抗炎策略。尽管Mirai本身是众所周知的,但此版本带来了值得研究的新技术。
Mirai Botnet的源代码此Mirai变体使用简单的RC4算法解密字符串并使用XOR来混淆键。解密后,将字符串存储在执行过程中的全局列表中。该恶意软件还包括抗VM和抗臭味检查,通过扫描运行过程中的VMware或QEMU迹象。
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini
(SecurityFaffairs - 黑客,僵尸网络)