趨勢科技告警稱大約12萬臺基于多家原始設備制造商產品的網絡攝像頭機型易受一種新型物聯網僵尸網絡Persirai的攻擊。
新型物聯網僵尸網絡Persirai現身
Persirai針對1000多種互聯網攝像頭機型發起攻擊，而多數用戶并未意識到這一點。結果攻擊者就能通過TCP端口81輕易訪問設備的web接口。
由于互聯網攝像頭一般使用的是UPnP協議，設備能夠打開路由器上的一個端口并起到服務器的作用，因此它們是物聯網惡意軟件非常容易發現的目標。通過訪問這些設備易受攻擊的接口，攻擊者能夠注入命令強制設備連接至某個站點，并下載執行惡意shell腳本。
Persirai在易受攻擊的設備上執行后就會自刪除并持續僅在內存中運行。另外它還會攔截自己使用的0day利用代碼以阻止其他攻擊者攻擊同樣的互聯網攝像頭。由于惡意代碼在內存中運行，因此重啟還會導致設備易受攻擊。

受影響的互聯網攝像頭向多個C&C服務器匯報（load.gtpnet.ir、ntp.gtpnet.ir、185.62.189.232和95.85,38.103）。一旦從服務器中接收到命令，受感染設備就會自動開始利用一個公開的0day漏洞攻擊其它互聯網攝像頭，攻擊者能從用戶那里獲得密碼文件并執行命令注入。Persirai僵尸網絡能夠通過UDP洪水發動DDoS攻擊并且在不欺騙IP地址的情況下通過SSDP包發動攻擊。
安全研究人員設法將僵尸網絡跟使用.ir國家代碼的C&C服務器聯系在一起。這個代碼是由一家伊朗研究機構管理的而且只能由伊朗人使用。此外，這款惡意軟件的代碼包含一些特別的波斯字符。
Persirai似乎構建于Mirai源代碼基礎之上，后者披露于去年的10月份。Persirai還會針對安裝了最新固件版本的設備，并且無法通過使用強密碼得到延緩，因為它會利用一個竊取密碼的漏洞。因此，互聯網攝像頭所有人應當執行其它安全措施來保護設備安全。
后記
安全研究人員指出，“物聯網安全的責任不應當僅依靠用戶，廠商本身也應當負責，因為后者應當確保設備是安全的且不斷更新。因此，用戶應當確保設備安裝了最新固件以將漏洞利用的幾率最小化。”