近期,NewSky Security的首席研究员Ankit Anubhav对外展示了如何利用Mirai僵尸网络源码中的一个微小而简单的漏洞使C2服务器(僵尸网络中的命令和控制服务器)崩溃。
安全专家指出,当有人使用超过1025个“a”字符作为用户名进行连接时,Mirai僵尸网络的C2服务器将会崩溃。
通过分析Github上披露的一部分Mirai僵尸网络代码,安全专家注意到所输入的用户名会被传递给自定义函数ReadLine。该函数会声明了一个固定大小的缓冲区。 而当输入大于1024字节时就会导致缓冲区溢出,致使模块崩溃。
Ankit Anubhav表示:“由于大多数物联网僵尸网络(即使在2019年)基本都算是Mirai僵尸网络的变种,因此该漏洞可以说是影响甚大,并且已经在黑帽群体中得到了广泛的传播和利用。”
网络上现已有不少恶意攻击者都利用Mirai中的这个漏洞来攻击竞争对手的僵尸网络的C2服务器。
“我们采访了Scarface,一个拥有物联网僵尸网络的攻击者,他表示确实经常使用这个漏洞攻击那些销售僵尸网络的脚本小子。一旦攻击成功,那些脚本小子往往很难第一时间意识到C2服务器出现了问题,即使发现了也只是简单的重启。由于这个漏洞的存在,那些脚本小子所有基于Mirai的僵尸网络都变得毫无用处。”
但安全专家并不鼓励主动攻击C2服务器,因为这是非法行为,正确的做法应该是向警方,CERT或ISP报告。
“很多热心的白帽子都希望让网络世界变得更安全。有些人可能会编写程序去持续打击已知的僵尸网络中的C2服务器。但是,根据当地法律,这种攻击行为很有可能是违法的,即使攻击的目标使恶意的,即使这只是以暴制暴”。
Ankit Anubhav最后总结道:“如果你想让那些C2服务器停止运行,最佳方法不是自己处理,而是向托管服务提供商、CERT或执法部门报告服务IP,我已看到很多白帽子都参与了进来”。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2558.html
来源:https://securityaffairs.co/wordpress/85040/malware/mirai-servers-hack.html
发表评论
您还未登录,请先登录。
登录