通过Telnet访问设备,默认用户名/密码:根/vizxv
Radware进一步详细说明了该恶意程序成功访问设备之后的一系列操作,获取权限之后:
pdo会立即执行一系列损坏存储的Linux命令
<李>再者是破坏设备性能,网络连接和擦除设备上的所有文件命令
根据Radware的研究人员的说法,其从蜜罐中捕获到的BrickerBot * * *目标是:Linux/BusyBox物联网设备,这些设备的打开了Telnet端口并且被暴露在了公网上面,这和去年10月的Mirai是很相似的。
原始文章
要点归纳
与Mirai相似
<李>pdo/Phlashing:永久拒绝服务,会损坏固件。解决办法只有替换或者重装固件。
<李>四天内,Radware的蜜罐记录了来自全球1895次的pdo * * *
<李>两条路径(互联网/TOR, BrickerBot.1/BrickerBot.2),相差一个小时左右.BrickerBot.2执行pdo
<李>采用暴力破解方式登陆Telnet。没有样本,无法获取完整字典。只记录下了第一个尝试用户名/密码:根/vizxv
<李> BrickerBot。1执行破坏命令:损坏存储,破坏网络连接,设备性能和擦除设备上的所有文件
针对的特殊设备/dev/mtd和/dev/mmc
/dev/mtd:内存技术设备——一个特殊的设备类型匹配flash特点
<李>/dev/mmc: MultiMediaCard——一种特殊的设备类型相匹配的记忆卡的标准,一个固态存储介质
<李>重配内核参数:TCP的时间戳,内核的最大线程数
<李>针对网络上打开Telnet端口的基于Linux/BusyBox的物联网设备
<李>端口22和运行老版本DropbearSSH服务的设备,并且这些设备被Shodan识别为Ubiquiti
<李>针对BrickerBot。2、同一时间记录到了333次命令不同的pdo。无法定位* * *源,目前还在继续。第一次登陆命令:根/根,根/vizxv,后序命令如下:
BrickerBot.2比BrickerBot。1的命令更彻底,目标更广泛,并且不依赖busybox
最后的命令与以前描述的pdo * * *相同,并尝试删除默认网关,通过rm射频/*擦除设备,并禁用TCP时间戳,并将内核线程的最大数量限制为一个。这次,与存储损坏命令类似,添加了额外的命令来刷新所有iptables防火墙和NAT规则,并添加一条规则来删除所有传出的数据包。 <李>
BrickerBot.1已经停止,BrickerBot。2还在继续
