10万“肉鸡”组成的新型Mirai僵尸网络变种来袭

11月28日讯 上周，安全专家发现约10万IP在不到三天时间疯狂扫描存在漏洞的ZyXEL（合勤） PK5001Z路由器，断定新型Mirai变种正在快速传播。


PoC漏洞利用代码发布成导火索

奇虎360网络安全研究院（Netlab）安全研究员表示，发布在公共漏洞数据库中的PoC漏洞利用代码是这个僵尸网络活动激增的根本原因。PoC代码发布时间为10月31日，并触发了ZyXEL PK5001Z路由器中的漏洞——CVE-2016-10401（2016年1月被公开）。ZyXEL PK5001Z路由器使用的硬编超级用户密码（zyad5001）能用来提权至Root权限。

360网络安全研究院指出，自2017-11-22 11:00开始，他们发现端口2323、端口23的扫描流量猛增，近10万个来自阿根廷的IP在进行疯狂扫描。扫描活动于2017-11-23白天达到峰值。

经调查后，研究人员认为这是一个新型Mirai变种。360网络安全研究院通过蜜罐发现，最近有两个Telnet凭证被频繁使用：

• admin/CentryL1nk；

• admin/QwestM0dem。

  
  

PoC代码使用这两个凭证登录了远程ZyXEL设备，然后使用硬编超级用户密码取得Root权限。
蜜罐发现的时间曲线与360NetworkScan Mon 系统扫描曲线比较一致，360NetworkScan Mon 系统与蜜罐发现的滥用IP来源存在重合：

• admin/CentryL1nk :  1125个IP中748个重合，重合率66.5%

• admin/QwestM0dem :  1694个IP中有1175个重合，重合率69.4%。

  
  

这说明，由10万设备组成的僵尸Mirai僵尸网络正在搜索存在漏洞的ZyXEL设备。其中6.57万台“肉鸡”位于阿根廷，因为当地ISP Telefonica为设备提供了公开PoC中包含的默认凭证。
安全研究人员Troy Mursch（特洛伊·莫尔什么）证实，大多数扫描器IP来自阿根廷，准确地说是来自阿根廷Telefonica的网络。

影响范围

ZyXEL（合勤）为台湾地区的企业，为全球网络设备及解决方案供应商，向企业用户提供DSL 路由器等设备。因此台湾地区很可能受此次漏洞影响。

使用ZyXEL PK5001Z路由器的用户不用过分紧张。Mirai僵尸程序不具有持续机制，受感染的设备重启时就能根除该程序。