Bleeping Computer 網(wǎng)站消息，基于 Mirai 的 DDoS 惡意軟件僵尸網(wǎng)絡(luò) IZ1H9 近期又開始活躍了，為 D-Link、Zyxel、TP-Link、TOTOLINK 等 Linux 路由器“添加”了 13 個(gè)新有效載荷。

Fortinet 安全研究人員表示 9 月份的第一周， IZ1H9  惡意軟件的利用率達(dá)到了歷史峰值，針對易受攻擊設(shè)備的利用嘗試達(dá)到了數(shù)萬次。IZ1H9 在成功入侵受害者設(shè)備后，便將其加入 DDoS 群，然后對指定目標(biāo)發(fā)起 DDoS 攻擊。

整個(gè) 9 月份觀察到的利用嘗試（Fortinet）

IZ1H9 瞄準(zhǔn)眾多攻擊目標(biāo)

眾所周知，DDoS 惡意軟件盯上的設(shè)備和漏洞越多，就越有可能建立一個(gè)龐大而強(qiáng)大的僵尸網(wǎng)絡(luò)，以此對目標(biāo)網(wǎng)站進(jìn)行大規(guī)模攻擊。就 IZ1H9 而言，F(xiàn)ortinet 報(bào)告稱它使用了以下多個(gè)漏洞，時(shí)間跨度從 2015 年到 2023 年：

• D-Link 設(shè)備： CVE-2015-1187、CVE-2016-20017、CVE-2020-25506、CVE-2021-45382
• Netis WF2419：CVE-2019-19356
• Sunhillo SureLine(8.7.0.1.1 之前的版本)： CVE-2021-36380
• Geutebruck 產(chǎn)品： CVE-2021-33544、CVE-2021-33548、CVE-2021-33549、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
• Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
• Zyxel EMG3525/VMG1312(V5.50 之前)： CVE 未指定，但針對 Zyxel 裝置的 /bin/zhttpd/ 元件漏洞
• TP-Link Archer AX21 (AX1800)： CVE-2023-1389
• Korenix JetWave 無線 AP： CVE-2023-23295
• TOTOLINK 路由器 CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083

不僅如此， IZ1H9 網(wǎng)絡(luò)攻擊活動(dòng)還針對與"/cgi-bin/login.cgi "路由相關(guān)的未指定 CVE，這可能會(huì)影響 Prolink PRC2402M 路由器。

攻擊鏈詳情分析

在成狗利用上述漏洞后，IZ1H9 有效載荷就會(huì)被立刻注入到受害者目標(biāo)設(shè)備，其中包含一條從指定 URL 獲取名為 "l.sh "的 shell 腳本下載器的命令。腳本執(zhí)行后，會(huì)刪除日志以隱藏惡意活動(dòng)，接下來，它會(huì)獲取針對不同系統(tǒng)架構(gòu)定制的機(jī)器人客戶端。

最后，腳本會(huì)修改設(shè)備的 iptables 規(guī)則，以阻礙特定端口的連接，增加設(shè)備管理員從設(shè)備上刪除惡意軟件的難度。

完成上述所有操作后，IZ1H9 僵尸網(wǎng)絡(luò)就會(huì)與 C2（命令與控制）服務(wù)器建立通信，并等待執(zhí)行命令。據(jù)悉，支持的命令涉及要發(fā)起的 DDoS 攻擊類型，主要包括 UDP、UDP Plain、HTTP Flood 和 TCP SYN等。

DDoS 命令（Fortinet）

Fortinet 還在報(bào)告中指出，IZ1H9 的數(shù)據(jù)部分包含用于暴力破解攻擊的硬編碼憑證。以上這些攻擊可能有助于傳播到受害目標(biāo)的相鄰設(shè)備中，或?qū)]有有效利用的 IoT 進(jìn)行身份驗(yàn)證。 

硬編碼憑證（Fortinet）

最后，網(wǎng)絡(luò)安全專家建議物聯(lián)網(wǎng)設(shè)備所有者使用強(qiáng)大的管理員用戶憑據(jù)，并將其更新為最新可用的固件版本，在可能的情況下，盡量減少設(shè)備在公共互聯(lián)網(wǎng)上暴露的頻次。

文章來源：https://www.bleepingcomputer.com/news/security/mirai-ddos-malware-variant-expands-targets-with-13-router-exploits/