Mirai又出新变种,攻击力史无前例

luochicun Web安全 2018年1月19日发布

导语:近日,著名的反恶意软件组织MalwareMustDie的研究人员unixfreaxjp发现了史上首个攻击ARC CPU的Linux恶意软件,目前,他将这种新的Linux ELF恶意软件被命名为MIRAI OKIRU。

u=190070120,851943057&fm=27&gp=0.jpg

近日,著名的反恶意软件组织MalwareMustDie的研究人员unixfreaxjp发现了史上首个攻击ARC CPU的Linux恶意软件,目前,他将这种新的Linux ELF恶意软件被命名为MIRAI OKIRU。

还记得导致曾席卷全球,瘫痪各国互联网服务的Mirai吗?2016年8月,就是 unixfreaxjp首先发现了首先发现了Mirai僵尸网络,并让它进入公众的视野。由此可见,他在检测Mirai僵尸网络上具有很强的专业能力。这不,看到MIRAI OKIRU,你自然而然就会想到Mirai僵尸网络,OKIRU确实是MIRAI的变种。

不过Mirai僵尸网络的变种并不是一开始就是OKIRU,在它之前还出现过一个叫做Satori的变种。Satori是在2017年12月初被发现的,它随时都可能发起DDos攻击,带来严重的后果。据统计,Satori在爆发初期,短短12小时之内就感染了超过28万个IP地址,并利用最新发现的零日漏洞控制了数十万台家庭路由器。攻击速度比Mirai快了不止一点点——如果把Mirai的威力比做一把枪,那么Satori 就是大炮。只是,这台“大炮”目前像定时炸弹一样,还没有发威。

不过Satori 刚开始是以 Mirai Okiru 的名义被研究的,早在2017年11 月 23 日就有安全公司发现了Satori的踪迹。不过,刚开始Satori 的绝大多数“肉鸡”位于阿根廷。此后,该僵尸网络朝埃及、土耳其、乌克兰、委内瑞拉和秘鲁开始肆虐。

直到最近,真正的OKIRU才出现,比Satori晚了一个月左右,其攻击能力似乎比Satori更大,且隐蔽性更好。因为在被发现之前几乎没有什么安全措施可以检测到它。

ARC-OKIRU.png

如果是这样,那基于 ARC的物联网设备将会带来毁灭性的攻击。ARC 嵌入式处理器目前已经被 200 多个组织授权,并且目前全球已有10亿的物联网设备是基于ARC cpu的,可见潜在的安全隐患是多么的大。

ARC(Argonaut RISC Core)嵌入式处理器是由ARC International最初设计的一系列32位CPU。它们广泛用于存储,家庭,移动,汽车和物联网应用的SoC器件。 ARC处理器已获得200多家组织的许可,每年出货量超过15亿,如此强大的僵尸网络可以用于多种恶意目的。

Mirai Satori与Okiru的不同

1.配置不同:Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密,而 Satori 并不分割这两个部分,也不加密默认密码。并且 Okiru 的远程攻击登录信息要长(可以达到114个凭证),而 Satori拥有着完全不同以及更短的数据库;

2.Satori拥有分布式反射拒绝服务(DRDoS)攻击功能,而Okiru似乎没有这个功能;

3.在 Okiru 和 Satori 的配置中,感染跟进的命令有点不同,也就说他们没有共享相同的“羊群效应(herding environment)”环境。

4.四种类型的路由器攻击漏洞利用代码在Okiru变体中只被硬编码,但是Satori完全不使用这些漏洞;

5.Satori是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件,与 Okiru相比其编码方式存在不同。

本文翻译自:http://securityaffairs.co/wordpress/67742/malware/mirai-okiru-botnet.html ,如若转载,请注明原文地址: http://www.4hou.com/web/9950.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论