據(jù)SecurityAffairs消息，Moobot 僵尸網(wǎng)絡(luò)正在利用?？低暜a(chǎn)品的漏洞進(jìn)行快速傳播。

資料顯示，Moobot是一款基于Mirai的僵尸網(wǎng)絡(luò)，2021年2月，Palo Alto Unit 42 安全研究人員首次發(fā)現(xiàn)并記錄了Moobot僵尸網(wǎng)絡(luò)，而最近頻繁出現(xiàn)的網(wǎng)絡(luò)攻擊表明，黑客組織正在增強(qiáng)他們的惡意軟件。

這是?？低暰W(wǎng)絡(luò)攝像機(jī)/NVR固件中，一個(gè)未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，編號(hào)為CVE-2021-36260。這個(gè)關(guān)鍵問題影響了?？低暺煜?0多個(gè)款攝像頭，由于對輸入?yún)?shù)校驗(yàn)不充分，未經(jīng)身份驗(yàn)證的攻擊者通過構(gòu)造帶有惡意命令的報(bào)文發(fā)送到影響設(shè)備，可實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。

該漏洞由一位安全研究人員發(fā)現(xiàn)，花名“Watchful IP”。在攻破IP攝像機(jī)后，攻擊者還可以通過受感染的設(shè)備訪問內(nèi)部網(wǎng)絡(luò)，從而對使用這些設(shè)備的基礎(chǔ)設(shè)施構(gòu)成風(fēng)險(xiǎn)。需要注意的是，利用該漏洞不需要用戶交互，攻擊者只需要訪問http(s)服務(wù)器端口(通常為80/443)即可。

海康威視表示，只有當(dāng)攻擊者訪問的設(shè)備與Internet有直接接口時(shí)，才可以觸發(fā)該漏洞。2021年9月，?？低曇呀?jīng)通過固件更新 (v 210628)修復(fù)了該漏洞 ，但并非所有用戶都急于應(yīng)用安全更新。

Fortinet 報(bào)告稱，Moobot 僵尸網(wǎng)絡(luò)正在利用這個(gè)缺陷來破壞未打補(bǔ)丁的設(shè)備并從受害者那里提取敏感數(shù)據(jù)。

“在我們(Fortinet)的分析過程中，發(fā)現(xiàn)大量有效載荷試圖利用此漏洞從受感染的設(shè)備獲取敏感數(shù)據(jù)。其中一個(gè)有效載荷還試圖刪除一個(gè)表現(xiàn)出的感染行為，并執(zhí)行 Moobot 僵尸網(wǎng)絡(luò)的下載程序。”

Fortinet安全研究人員還發(fā)現(xiàn)一個(gè)偽裝成“macHelper”的惡意軟件下載器，它使用“hikivision”參數(shù)獲取并執(zhí)行 Moobot。該惡意軟件還會(huì)修改“重啟”等基本命令，防止管理員重啟受感染的設(shè)備。

在這個(gè)過程中，F(xiàn)ortinet 安全研究人員發(fā)現(xiàn)Moobot僵尸網(wǎng)絡(luò)和Mirai 存在一定的相似之處，此外，Moobot還借鑒了Satori僵尸網(wǎng)絡(luò)的一些元素，并最終成為一種支持多種攻擊方式的 DDoS 僵尸網(wǎng)絡(luò)。

參考來源：https://securityaffairs.co/wordpress/125409/malware/moobot-botnet-hikvision.html