天创培训:您身边的信息安全培训专家!
行业动态
Mirai僵尸程序新变种爆发, 60个小时 、10万个IP 地址

Mirai僵尸程序新变种爆发, 60个小时 、10万个IP 地址

在10月31日,一个ZyXEL PK5001Z调制解调器的后门漏洞PoC被公布在了Exploit Database(号称“全球漏洞库”,网址www.exploit-db.com),漏洞被标识为CVE-2016-10401。

ZyXEL PK5001Z调制解调器被发现留有一个后门账户admin/CentryL1nk(用户名:admin;密码:centuryl1nk),可以通过“su( Switch user,切换用户)”语法来将普通用户切换到拥有对根目录访问权限的超级账户(密码:zyad5001)。

Mirai僵尸程序新变种爆发, 60个小时 、10万个IP 地址

从本月22日开始,来自奇虎360网络安全研究院(Netlab)的安全专家通过ScanMon 系统利用这些被公布的信息进行了扫描。

ScanMon系统由Netlab研发,提供全球范围内实时和历史扫描行为的监控和分析。ScanMon 通过分析大量多样的网络数据,包括网络流、蜜罐等等,来精确有效的检测扫描行为。

Netlab注意到,从22日11:00开始,ScanMon系统端口2323和端口23扫描流量大幅提升,并在2017年11月23日白天达到峰值。经过调查,Netlab有理由相信扫描来自僵尸程序Mirai的新变种。

Mirai僵尸程序新变种爆发, 60个小时 、10万个IP 地址

其中,大部分扫描IP地址来自阿根廷。在不到一天的时间里,被监测到的IP地址约有6.57万个。在经过60个小时后,这个数值增加到10万,这意味着新的僵尸网络Mirai至少由10万台设备组成。

安全专家表示,这些设备正在寻找易受攻击的ZyXEL设备——使用admin/CentryL1nk和admin/QwestM0dem作为默认的Telnet证书的ZyXEL设备。

Mirai僵尸程序新变种爆发, 60个小时 、10万个IP 地址

好消息是,Mirai僵尸程序没有持久性机制,这意味着当受感染的设备重新启动时这个僵尸程序可以被根除。