Mirai基础的IZ1H9活动： DDoS攻击的警示

关键要点

IZ1H9活动正以激进的方式对Linux路由器和其他物联网设备发动DDoS攻击。其影响力源于攻击者迅速利用新发布的漏洞利用代码进行攻击。组织应及时应用补丁，并更改设备的默认登录凭证。IoT设备的漏洞爆炸性增长是由于缺乏标准操作系统，增加了攻击面。在当前的地缘政治不稳定背景下，DDoS攻击有可能增加。

最近观察到以Mirai为基础的IZ1H9活动，正在向Linux路由器及其他物联网IoT设备猛烈发动分布式拒绝服务DDoS攻击。攻击主要针对知名厂商如DLink、Netis和Zyxel的设备，使用了13种不同的攻击载荷。

天行加速器稳定性

根据Fortinet的FortiGuard实验室在10月9日的博客文章中提到，IZ1H9活动之所以具有很大的影响，是因为攻击者快速利用了其所针对的漏洞。攻击者能够利用最近发布的漏洞利用代码感染脆弱设备，并迅速扩大其僵尸网络，这些漏洞中包括了大量的关键CVE公共暴露漏洞。

研究人员表示，一旦攻击者控制了脆弱设备，他们就可以将这些新被攻陷的设备纳入他们的僵尸网络，这将使他们能够发起更进一步的DDoS和暴力攻击。FortiGuard强烈建议组织在补丁发布时及时应用，并始终更改设备的默认登录凭证。

IoT设备一直是威胁行为者的吸引性目标，远程代码执行攻击是对IoT设备和Linux服务器最常见且令人担忧的威胁， FortiGuard研究人员写道。“暴露的脆弱设备可能导致严重的安全风险。尽管这些漏洞有补丁可用，但触发利用的数量依然惊人地高，往往高达数千。”

Viakoo Labs的副总裁约翰加拉赫John Gallagher指出，IoT设备中可利用的漏洞爆炸性增长，原因是与传统IT系统相比，有更多变量需要测试。加拉赫提到，IoT设备缺乏标准操作系统意味着，在Windows或Linux中已缓解的漏洞，可能在某些IoT设备例如路由器所使用的独特操作系统中依然存在。

“无论是远程办公室、家庭办公室、仓库还是工厂，许多组织都有强大的网络连接设备，这些设备的管理不在IT直接控制之下，” 加拉赫解释说。“几乎所有组织都有安全政策问题是这些政策是否得到了执行，或者是否有特定的豁免。使用无代理资产发现解决方案以及基于应用程序的发现，能够为保护你的资产清单提供一个起点，并在应用层面识别出最关键的系统。”

Tanium的首席安全顾问蒂莫西莫里斯Timothy Morris补充道，用户安装供应商提供的更新是非常重要的。

“据我所知，大多数这些设备通常位于家庭和小型企业中，这意味着它们很可能是未管理的，因此，成为扩展Mirai僵尸网络的容易目标，”莫里斯说。“我发现，漏洞利用会安装一个包含Shell脚本的有效载荷。日志会被删除，设备的配置会通过修改iptables而改变，以模糊攻击者的活动并启用与这些设备的通讯。”

Netenrich的首席威胁猎手约翰班贝克John Bambenek表示，在这个地缘政治动荡的时期，DDoS攻击的增加是很有可能的。

“随着这些变化，更多的脆弱设备被暴露出来，这纯粹是一个数学游戏，”班贝克说。“僵尸网络中的节点越多，攻击和故障就越多。”