Nova variante da botnet Mirai tem 100.000 endereços IP infectados em 60 horas
Em 31 de outubro, uma PoC de vulnerabilidade de backdoor para um modem ZyXEL PK5001Z foi postada no banco de dados Exploit e a vulnerabilidade foi identificada como CVE-2016-10401 .
Verificou-se que o modem ZyXEL PK5001Z tinha uma conta de backdoor. Essa conta era admin / CentryL1nk (nome de usuário: admin; senha: centuryl1nk). Para alternar entre usuários normais para ter permissões de acesso de root através da sintaxe “su (Switch user)” Super account (senha: zyad5001 ).
No dia 22 deste mês, especialistas em segurança do Qihoo 360 Network Security Institute (Netlab) examinaram as informações publicadas usando o sistema ScanMon.
Monitoramento
Desenvolvido pela Netlab, o sistema ScanMon fornece monitoramento e análise de comportamento de varredura em tempo real e histórico em todo o mundo. O ScanMon detecta com precisão e eficiência o comportamento de digitalização, analisando uma grande variedade de dados baseados na web, incluindo transmissão na web, honeypots e muito mais.
Netlab observou que o tráfego de varredura nas portas 2323 e 23 do sistema ScanMon aumentou drasticamente a partir das 11:00 no dia 22. Atingindo o pico durante o dia em 23 de novembro de 2017. Após a investigação, Netlab tem motivos para acreditar que a varredura de uma nova variante do bizarro Mirai.
Entre eles, a maioria do endereço IP de varredura da Argentina. Em menos de um dia, cerca de 65.700 endereços IP foram monitorados. Após 60 horas, esse valor aumentou para 100.000, o que significa que o novo botnet Mirai é composto por pelo menos 100.000 dispositivos.
Especialistas em segurança disseram que os dispositivos estão à procura de dispositivos ZyXEL vulneráveis - dispositivos ZyXEL que usam admin / CentryL1nk e admin / QwestM0dem como certificados Telnet padrão.
A boa notícia é que o Mirai bot não possui um mecanismo persistente, o que significa que o bot pode ser erradicado quando o dispositivo infectado reiniciar.