HackerNews 编译,转载请注明出处:
一种名为 “Eleven11bot” 的新型僵尸网络恶意软件已感染超过 86,000 台物联网设备,主要是安全摄像头和网络视频录像机(NVR),用于发起分布式拒绝服务(DDoS)攻击。
这个与伊朗有松散联系的僵尸网络已经对电信服务提供商和在线游戏服务器发起了 DDoS 攻击。
Eleven11bot 由诺基亚研究人员发现,并与威胁监测平台 GreyNoise 分享了相关细节。
诺基亚安全研究员杰罗姆·迈耶(Jérôme Meyer)表示,Eleven11bot 是他们近年来观察到的最大的 DDoS 僵尸网络之一。
“这个僵尸网络主要由被攻陷的网络摄像头和网络视频录像机(NVR)组成,已经迅速增长到超过 30,000 台设备,”迈耶在 LinkedIn 上表示。
“它的规模在非国家行为体的僵尸网络中非常突出,使其成为自 2022 年 2 月乌克兰战争以来观察到的最大的 DDoS 僵尸网络活动之一。”
今天早些时候,威胁监测平台 Shadowserver 基金会报告称,观察到 86,400 台设备感染了 Eleven11bot 僵尸网络,其中大部分位于美国、英国、墨西哥、加拿大和澳大利亚。
受 Eleven11bot 影响的国家及地区
来源:Shadowserver 基金会
迈耶表示,僵尸网络的攻击强度已达每秒数亿个数据包,攻击持续时间通常跨越多天。
在 GreyNoise 和 Censys 的帮助下,过去一个月内记录了 1,400 个与僵尸网络操作相关的 IP 地址,其中 96% 来自真实设备(非伪造)。
与 Eleven11bot 相关的恶意 IP 地址
来源:GreyNoise
这些 IP 地址大多位于伊朗,其中超过 300 个被 GreyNoise 归类为恶意。
GreyNoise 报告称,该恶意软件通过暴力破解弱或常见的管理员用户凭据传播,利用特定物联网型号的已知默认凭据,并积极扫描网络以查找暴露的 Telnet 和 SSH 端口。
GreyNoise 已发布与 Eleven11bot 相关的 IP 地址列表,并确认这些 IP 地址存在恶意行为,建议防御者将此列表添加到其阻止列表中,并监控可疑的登录尝试。
一般来说,建议确保所有物联网设备运行最新固件版本,如果不需要远程访问功能则将其禁用,并将默认管理员账户凭据更改为强大且唯一的密码。
物联网设备通常无法获得供应商的长期支持,因此定期检查设备是否已达到使用寿命终点(EOL),并将其替换为较新的型号至关重要。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
