近期，NewSky Security的首席研究员Ankit Anubhav对外展示了如何利用Mirai僵尸网络源码中的一个微小而简单的漏洞使C2服务器（僵尸网络中的命令和控制服务器）崩溃。

安全专家指出，当有人使用超过1025个“a”字符作为用户名进行连接时，Mirai僵尸网络的C2服务器将会崩溃。

通过分析Github上披露的一部分Mirai僵尸网络代码，安全专家注意到所输入的用户名会被传递给自定义函数ReadLine。该函数会声明了一个固定大小的缓冲区。 而当输入大于1024字节时就会导致缓冲区溢出，致使模块崩溃。

Ankit Anubhav表示：“由于大多数物联网僵尸网络（即使在2019年）基本都算是Mirai僵尸网络的变种，因此该漏洞可以说是影响甚大，并且已经在黑帽群体中得到了广泛的传播和利用。”

网络上现已有不少恶意攻击者都利用Mirai中的这个漏洞来攻击竞争对手的僵尸网络的C2服务器。

“我们采访了Scarface，一个拥有物联网僵尸网络的攻击者，他表示确实经常使用这个漏洞攻击那些销售僵尸网络的脚本小子。一旦攻击成功，那些脚本小子往往很难第一时间意识到C2服务器出现了问题，即使发现了也只是简单的重启。由于这个漏洞的存在，那些脚本小子所有基于Mirai的僵尸网络都变得毫无用处。”

但安全专家并不鼓励主动攻击C2服务器，因为这是非法行为，正确的做法应该是向警方，CERT或ISP报告。

“很多热心的白帽子都希望让网络世界变得更安全。有些人可能会编写程序去持续打击已知的僵尸网络中的C2服务器。但是，根据当地法律，这种攻击行为很有可能是违法的，即使攻击的目标使恶意的，即使这只是以暴制暴”。

Ankit Anubhav最后总结道：“如果你想让那些C2服务器停止运行，最佳方法不是自己处理，而是向托管服务提供商、CERT或执法部门报告服务IP，我已看到很多白帽子都参与了进来”。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2558.html
来源：https://securityaffairs.co/wordpress/85040/malware/mirai-servers-hack.html