近日，安天實驗室聯合電信云堤發布針對Mirai新變種威脅分析報告。利用捕風蜜罐捕獲到Mirai新變種，該變種利用最近公布的7547端口漏洞進行傳播,并對公布漏洞的payload進行了修改使之可以下載執行Mirai樣本。通過對互聯網流量監控，發現了大量IoT設備進行7547端口掃描，這些設備已經被新Mirai變種攻陷。

      經分析發現，近期披露的D1000 TR 064 服務器 TCP 端口 7547漏洞，攻擊者會通過發送某些 TR 064 命令，來指示運行該服務器的設備打開防火墻上的 80端口。繼而允許攻擊者從互聯網訪問設備的web 管理界面。D1000 的默認登錄密碼是默認 Wi-fi 密碼,也可以通過另一個TR064指令來獲取。利用該漏洞的關鍵代碼向端口7547發送TR064命令，設置新NTP服務器的方式，在NewNTPServer1中采用指令來解除防火墻對80訪問限制。

      Mirai變種的C&C配置加密方式與源碼泄露的家族沒有變化。連接C&C服務器的23端口，上線包數據為0x00000001。

      在被感染的路由器執行兩個命令。第一個命令是關閉7547端口，第二個命令是停止telnet服務，使用戶無法遠程更新固件。然后，生成隨機IP，對這些IP的7547端口進行掃描與漏洞入侵。樣本利用7547漏洞進行了相應的改造，使攻擊者直接下載遠程樣本，修改可執行模式并且運行。

      通過電信云堤抽樣流量分析獲得如下信息：

      確認被感染具有7547掃描能力的節點主要通過包括掃描節點自身是IoT設備，掃描節點多次使用相同端口掃描，掃描節點發出攻擊漏洞方法進行發現。

      確認感染設備總數：306778

      感染設備主要開放服務或設備信息包括RomPager/4.07、DVRDVS、TR069 Connect Request Server、DHT Nodes、HuaweiHomeGateway。

      目前發現感染的節點主要在地區top10如下

      巴西  107166

      英國  61854

      愛爾蘭   18268

      拉美其它地區 17210

      土耳其   13863

      伊朗  11573

      澳大利亞 8002

      泰國  7159

      意大利   6243

      芬蘭  5294

      隨著物聯網的高速發展，物聯網設備數量的大幅增加，黑客利用了這一點使用其作為攻擊對象和跳板進行攻擊，這也提醒了物聯網用戶，需要提高對物聯網設備的安全防護意識。提高攻擊入侵物聯網設備的成本，以及加強物聯網設備的安全威脅監測預警，是安天已經在進行的工作。