Mirai 变种 Nexcorium 利用 DVR 漏洞构建 DDoS 僵尸网络

文章标题：Mirai变种Nexcorium利用DVR漏洞构建DDoS僵尸网络

文章正文：

执行摘要

Mirai僵尸网络的一个新变种，被称为Nexcorium，正在积极利用TBK DVR设备中已知的命令注入漏洞来构建分布式拒绝服务（DDoS）军队。由Fortinet FortiGuard Labs和Palo Alto Networks Unit 42记录的这场活动，还针对生命周期结束的TP-Link路由器，利用它们的广泛暴露和缺乏安全更新。主要漏洞CVE-2024-3721允许未经身份验证的远程代码执行，使攻击者能够下载并执行Nexcorium恶意软件有效载荷，该载荷旨在发起TCP和UDP洪水攻击。

技术分析

攻击链始于CVE-2024-3721的利用，这是一个中等严重性（CVSS 6.3）的命令注入漏洞，存在于TBK DVR型号的Web界面中。根据研究人员的说法，由于在操作系统命令中使用的特特殊元素没有得到适当的中和，因此存在漏洞。未经身份验证的攻击者可以向特定端点（/cgi-bin/mft/wireless_mft）发送带有恶意shell元字符的精心制作的HTTP GET请求，在ssid参数中，导致任意命令执行。

成功利用后，攻击者的脚本从远程服务器下载并执行Nexcorium二进制文件。恶意软件是一个经典的Mirai变种，用C语言编写，并为多种架构（例如，ARM、MIPS、x86）编译，以最大化其在物联网（IoT）领域的影响力。一旦安装，它终止竞争进程，建立持久性，并连接到命令和控制（C2）服务器以等待指令。僵尸的主要功能是进行DDoS攻击，特别是TCP ACK洪水和UDP洪水攻击，用恶意流量淹没目标网络。

另外，该活动还针对生命周期结束的TP-Link Archer C20和C2EU路由器。在可用来源中没有指定这些设备上被利用的确切漏洞，但暗示它是一个已知的、未修补的漏洞。感染载体和随后的有效载荷部署遵循与DVR攻击类似的模式。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

攻击者使用一套一致的技术来破坏设备并维护他们的僵尸网络：

• 初始访问： 通过CVE-2024-3721在TBK DVRs中利用面向公众的应用程序（T1190），以及可能在EoL TP-Link路由器中已知的漏洞。
• 执行： 命令和脚本解释器（T1059）——特别是Unix Shell（T1059.004）——来执行下载的脚本和二进制文件。
• 持久性： 通过安装Nexcorium二进制文件作为持久服务来创建或修改系统进程（T1543）。
• 防御绕过： 通过杀死与被破坏设备上的其他恶意软件或安全工具相关的进程来进行进程注入（T1055）和损害防御（T1562）。
• 命令和控制： 使用自定义协议在TCP上的应用层协议（T1071）与C2基础设施通信。
• 影响： 通过TCP/UDP洪水攻击进行网络拒绝服务（T1498）。

威胁行为者背景

Nexcorium活动背后的特定威胁行为者尚未被识别。活动与财务动机或访问雇佣的僵尸网络运营商一致，他们不断扫描并利用易受攻击的、面向互联网的IoT设备。自2016年以来，Mirai源代码的重用和修改降低了此类操作的进入门槛。选择目标——通常是维护不善或已过生命周期的大规模生产的DVR和消费者路由器——反映了追求低垂果实以构建大型、一次性僵尸网络进行DDoS攻击或作为攻击平台出售的策略。

缓解措施与建议

组织和个人应采取以下步骤来防御此类IoT僵尸网络活动：

1. 补丁和更新： 立即应用TBK DVR设备的可用固件更新以解决CVE-2024-3721。如果供应商没有提供补丁，请考虑隔离或更换设备。
2. 退役EoL硬件： 从生产网络中移除指定的TP-Link路由器等生命周期结束的设备。它们不再接收安全更新，代表了关键的、持久的风险。
3. 网络分割： 在具有严格入站和出站防火墙规则的专用网络段上隔离IoT和操作技术（OT）设备，拒绝所有不必要的互联网访问。
4. 更改默认凭据： 确保所有设备都设置了强大、独特的密码，因为默认凭据是Mirai类恶意软件的常见初始访问向量。
5. 持续监控： 实施网络监控，以监测异常的出站流量模式，例如从内部设备发起的大量UDP或TCP数据包，这可能表明被破坏的设备参与了DDoS攻击。