就在几天前,我们报道了奇虎360网络安全研究院(Netlab)通过ScanMon 系统发现一个至少由10万台设备组成的Mirai僵尸网络正在迅速组建,正在通过扫描寻找易受攻击的ZyXEL设备,大部分扫描IP地址来自阿根廷。
根据趋势科技最新监测发现,这场扫描活动已经进一步扩展到了南美洲和北非国家,包括哥伦比亚、厄瓜多尔、巴拿马、埃及和突尼斯。
从11月29日14:00到11月29日20:00,趋势科技共监测到约9000个独立IP地址、次扫描,哥伦比亚成为第二波扫描活动的主要目标。从监测到的扫描次数来看,厄瓜多尔、阿根廷、埃及和突尼斯表现差异不大,最少的是巴拿马。下图比较了第一波(阿根廷)和第二波(哥伦比亚和巴拿马)的攻击频率:
从图中我们可以看出整个扫描活动的发展态势。从11月22日11:00左右开始,针对阿根廷的第一波扫描活动开始出现,并在11月23日白天达到峰值;从11月25日凌晨1点左右开始,扫描活动逐渐停歇,大概维持在1000次左右。
第二波扫描活动发生在11月29日凌晨4点左右,主要扫描对象切换成了哥伦比亚。在第一波扫描活动,大部分扫描IP地址来自阿根廷,这意味着攻击者以及攻击企图目标大部分都位于同一地区。而在第二次扫描活动中,攻击企图明显扩大,因为它同时针对了包括阿根廷在内的6个国家。
趋势科技对扫描活动可能在寻找的易受攻击设备进行了研究,发现扫描活动找寻的目标包括IP摄像头、数字录像机(DVR)、网络硬盘录像机(NVR)以及调制解调器;涉及多个品牌,包括合勤(ZyXEL)、大化(Dahua)等。
与第一波扫描活动相比,攻击者仍然试图利用ZyXEL调制解调器作为切入点。从11月29日凌晨3点开始,攻击者开始扫描使用“Wproot”作为默认帐号的Tenvis TH692 户外P2P无线高清防水网络摄像头。
趋势科技表示,该公司目前仍在寻找这些国家遭遇扫描活动的原因,以及这两波扫描活动之间是否存在联系。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。