惡名昭彰Mirai 「物聯網殭屍病毒」新變種,發動逾3.7 萬次攻擊

惡名昭彰的「Mirai」物聯網 (IoT) 殭屍網路病毒 (趨勢科技命名為 ELF_MIRAI 家族) 又再度出現在一波新的攻擊行動當中,此次的目標是阿根廷,攻擊的徵兆是連接埠「2323」和「23」流量暴增。隨後,攻擊行動又擴散至南美和北非國家,趨勢科技在哥倫比亞、厄瓜多爾、巴拿馬、埃及、突尼西亞等國偵測到一系列攻擊與大量 Mirai 病毒活動。同時,在阿根廷境內的活動也增加。

針對這最新的第二波攻擊,我們總共蒐集到六個國家的資料。從 UTC 時間 11 月 29 日 2:00 至 11 月 29 日 8:00 這段期間,我們總共偵測到 371,640 次攻擊 (來自 9,000 個左右的非重複 IP 位址)。此波攻擊的主要目標為哥倫比亞,此外,厄瓜多爾、阿根廷、埃及和突尼西亞的情況也類似。唯一的例外是巴拿馬,其受攻擊的時間較晚,數量也較其他國家少。下圖顯示第一波攻擊 (針對阿根廷) 與第二波攻擊 (針對哥倫比亞和巴拿馬) 的攻擊數量比較:

 Figures 1 and 2: Timeline and frequency of attacks for the first and second waves (All times in UTC)

 Figures 1 and 2: Timeline and frequency of attacks for the first and second waves (All times in UTC)

圖 1 和圖 2:第一波和第二波攻擊的時間和數量 (皆為 UTC 時間)。

從上圖可看出清楚的攻擊模式:第一波最早大約是從 11 月 22 日的 16:00 左右開始,一直持續到 11 月 25 日 1:00 左右,攻擊數量才下降至 1,000。第二波最早開始於 11 月 29 日 4:00 左右,與針對阿根廷那一波攻擊不同的是,第二波攻擊的數量分布較為平均。哥倫比亞所承受的攻擊數量最多。這波攻擊第一個高峰出現在 11 月 29 日隨後逐漸消退。緊接著在 12 月 1 日 8:00 至 9:00,又出現第二次高峰,而且創下哥倫比亞單一小時攻擊量最高紀錄 (80,825 次,在 7:00 左右)。

除此之外,我們也蒐集到了攻擊端的非重複 IP 位址。在第一波攻擊當中,攻擊端 IP 位址同樣也位於阿根廷境內,換句話說,攻擊者與受害目標大多位於相同地區。第二波攻擊的模式也類似,攻擊者與受害者皆均勻分散在五個主要國家境內,其中,巴拿馬的數量較少。

 Figures 3 and 4: Unique attack attempts IP count for the first and second waves (All times in UTC)

 Figures 3 and 4: Unique attack attempts IP count for the first and second waves (All times in UTC)

圖 3 和圖 4:第一波與第二波的攻擊端非重複 IP 位址數量 (皆 UTC 時間)。

儘管第二波攻擊的數量少於針對阿根廷的第一波攻擊,但攻擊範圍卻更廣,尤其以哥倫比亞最為嚴重。除了前面提到的第二個高峰之外,單一小時攻擊數量在 11 月 29 日 5:00 左右也相當高:56,748 次。至於第一波針對阿根廷的攻擊,其高峰則是出現在 11 月 22 日 23:00 左右:24,716 次。

就受害目標來看,歹徒攻擊的裝置相當多樣,包括:IP 攝影機、數位錄影機 (DVR)、網路視訊錄影機 (NVR),以及數據機 (modem)。從以下歹徒用來登入裝置的帳號密碼部分清單也可看出這個現象,涵蓋上述所有裝置類型及多種廠牌,如:ZyXEL 和 Dahua。以下資料取自針對哥倫比亞的攻擊:

登入帳號 密碼 裝置
admin CenturyL1nk ZyXEL PK5001Z
admin QwestM0dem ZyXEL PK5001Z
root vizxv Dahua IPC-HFW4300S
root xc3511 Xiong Mai Technology 的 IP 攝影機、DVR 及 NVR
Wproot cat1029 Tenvis TH692 戶外 P2P HD 防水 IP 攝影機

如同前一波攻擊一樣,這次駭客依然試圖攻擊 ZyXEL 數據機的安全漏洞,再加上一些前一波針對阿根廷的攻擊所未見過的裝置,最明顯的就是 Tenvis TH692 戶外 P2P HD 防水 IP 攝影機。我們檢查了所有從 11 月 1 日至 12 月 1 日所蒐集到的登入帳號,在 11 月 28 日之前,「Wproot」這個帳號 (Tenvis TH692 戶外 P2P HD 防水 IP 攝影機的預設登入帳號) 從未出現過。根據我們蒐集到的監控資料,「Wproot」這個帳號第一次出現是在 11 月 29 日 3:00 左右。

目前趨勢科技仍在研究歹徒為何鎖定這些國家,以及這兩波攻擊之間是否有任何關聯。我們將持續監控這些攻擊,並且適時提供最新消息。

 

原文出處:New Mirai Attack Attempts Detected in South America and North African Countries