您好,登錄后才能下訂單哦!
通過Telnet訪問設備,默認用戶名/密碼:root/vizxv
Radware進一步詳細說明了該惡意程序成功訪問設備之后的一系列操作,獲取權限之后:
PDoS會立即執行一系列損壞存儲的Linux命令
再者是破壞設備性能、網絡連接和擦除設備上的所有文件命令
根據Radware的研究人員的說法,其從蜜罐中捕獲到的BrickerBot***目標是:Linux/BusyBox IOT設備,這些設備的打開了Telnet端口并且被暴露在了公網上面,這和去年10月的Mirai是很相似的。
與Mirai相似
PDoS/Phlashing:永久拒絕服務,會損壞固件。解決辦法只有替換或者重裝固件。
四天內,Radware的蜜罐記錄了來自全球1,895次的PDoS***
兩條路徑(Internet/TOR,BrickerBot.1/BrickerBot.2),相差一個小時左右。BrickerBot.2執行PDoS
采用暴力破解方式登陸Telnet。沒有樣本,無法獲取完整字典。只記錄下了第一個嘗試用戶名/密碼:root/vizxv
BrickerBot.1執行破壞命令:損壞存儲,破壞網絡連接、設備性能和擦除設備上的所有文件
針對的特殊設備/dev/mtd和/dev/mmc
/dev/mtd:Memory Technology Device - a special device type to match flash characteristics
/dev/mmc:MultiMediaCard - a special device type that matches memory card standard, a solid-state storage medium
重配內核參數:TCP的時間戳,內核的最大線程數
針對網絡上打開Telnet端口的基于Linux/BusyBox的物聯網設備
端口22和運行老版本DropbearSSH服務的設備,并且這些設備被Shodan識別為Ubiquiti
針對BrickerBot.2,同一時間記錄到了333次命令不同的PDoS。無法定位***源,目前還在繼續。第一次登陸命令:root/root,root/vizxv,后序命令如下:
BrickerBot.2比BrickerBot.1的命令更徹底,目標更廣泛,并且不依賴busybox
威脅 最后的命令與以前描述的PDoS***相同,并嘗試刪除默認網關,通過rm -rf / *擦除設備,并禁用TCP時間戳,并將內核線程的最大數量限制為一個。 這次,與存儲損壞命令類似,添加了額外的命令來刷新所有iptables防火墻和NAT規則,并添加一條規則來刪除所有傳出的數據包。 |
BrickerBot.1已經停止,BrickerBot.2還在繼續
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。