超过2,000个Talktalk路由器被Mirai Botnet Variant劫持

研究人员表示，近2,400位感染了米拉僵尸网络代码的近2,400家的家庭路由器被感染了Mirai僵尸网络代码的变种，用于开展分布式拒绝服务（DDOS）攻击。

根据安全公司Imperva的研究人员，概述了一个快速扫描，据介绍，该扫描超过99％的恶意软件受感染的家庭路由器属于Talktalk电信网络。

10月份地下论坛上的Mirai恶意软件代码的发布提出了使用劫持设备（如路由器）的DDOS攻击飙升的担忧，例如构成事物的internet（物联网）。

不久之后，Mirai Botnet用于对域名系统（DNS）服务供应商Dyn进行DDOS攻击，该供应商Dyn呈现了许多Web服务，包括Netflix和Twitter。

在几周内，Mirai变体导致Deutsche Telekom路由器的大规模关闭，据报道，影响超过90万客户。该变体旨在利用新发现的TR-064协议漏洞到劫持网络路由器。

Deutsche Telekom为其客户发出了紧急补丁，但仅发现了一个类似的路由器的Mirai BotNet即将在英国运营。

研究人员表示，这表明新的TR-064漏洞和利用它的恶意变体对全球数百万ISP（互联网服务提供商）客户构成威胁。

TR-064是一种广泛使用的协议，即许多ISPS用于远程管理网络路由器，但可以修改标准命令以使黑客能够执行诸如用于远程访问的开放端口80等事物，从而获取Wi-Fi密码并将恶意软件注入设备，研究人员说。

Deutche Telekom路由器关闭后六天，研究人员表示，使用Dipassula Service的英国比特币公司网站被持续获取和洪水攻击袭击。

攻击达到8,600 rps（每秒请求）。然后它缩小到200到1,000 rps的稳定流程，指向客户网站上的两个特定页面。

“犯罪者的持久性以及选择目标，表明这是一个预谋的攻击性 - 而不是从租用的DDoS-for-雇用服务推出的典型随机突发，”研究人员说。

攻击最有趣的方面是，所有2,398次攻击IPS都位于英国，这是一个罕见的DDOS僵尸网络分布。

区域僵尸网络通常表示本地零售商提供的设备中的漏洞，并且在这种情况下，它结果是由talktalk提供的路由器。

Imperva研究人员几乎排除了TR-064，因为没有任何随机IP扫描发现任何带有Open 7547端口的设备。但是，当他们将相同的地址送入Shodan搜索引擎中的互联网连接设备时，他们发现这些端口已持续到“几天前”。

研究人员认为，在这种情况下使用的Mirai变体能够在目标设备中嵌套自身，然后将门关闭。

“我们希望攻击的累计报告将作为ISPS使用TR-064协议中漏洞的路由器唤醒呼叫，”研究人员表示。

对于已经利用漏洞利用的Mirai的变种，Imperva研究人员敦促ISPS发布紧急补丁以保护其客户的隐私，并防止他们的路由器落入僵尸网络运营商的手中，他们可以危及互联网生态系统。

talktalk已为缺陷TR-064接口的漏洞发出修复，并重置路由器，但该公司已被击落，以便不强制客户更改路由器密码。

渗透测试公司笔测试合作伙伴未覆盖的证据表明，使用类似路由器的TalkTalk和其他ISP客户可能会被盗，将它们打开到黑客。

TalkTalk发出的修复将路由器重置为攻击前的内容，这意味着攻击者对受影响的路由器仍然具有有效密码。

但是，根据BBC的说法，BondTalk维护是“无需”，以便用户更改路由器设置。

该公司的发言人表示，他们可以改变他们的路由器密码“如果他们希望”，并表示她认为她认为“没有风险”。

“这对安全和隐私的复杂辩论进行了扰动，以阐明这种方式的建议，”戴尔安全工作的技术总监Don Smith说。

“TalkTalk似乎与客户数据安全性快速而松动，再次”Test Partners'Ken Munro表示，“Seedpen Test伙伴”。

与Talktalk的方法相比，爱尔兰ISP EIR告诉BBC，建议客户重置路由器并更改路由器管理和Wi-Fi密码。