正文

新型Mirai变种现身,将IoT设备变成代理服务器转发流量

admin
admin V管理员 /0 评论 /9 阅读
1210
此篇文章发布距今已超过1245天,您需要注意文章的内容或图片是否可用!

       美国飞塔公司的安全研究人员发现 Mirai 新变种,将其命名为“OMG”,它着重于感染物联网(IoT)和网络设备,意在将这些设备变成代理服务器,以转发恶意流量。

       物联网僵尸网络被用作代理服务器并非新概念,2017年就曾出现过许多这类僵尸网络,其中最臭名昭著的要数 Linux.ProxyM。

       代理功能与DDoS功能不相上下

       飞塔公司声称,这是首个除了包含 DDoS 功能,还包含代理功能的 Mirai 变种。据信息安全界的消息人士称,这种断定可能并非100%属实。恶意软件作者经常对 Mirai 僵尸的变种进行修改。自 Mirai 发布以来,其开发人员就打算将其作为代理服务器运作。大多数这些 Mirai 变种专注于部署 DDoS 功能,从未部署过大规模的传播功能,也未将重点放在代理功能上。


       飞塔公司在该变种的源代码中发现 OOMGA 字符串,因此将其命名为 OMG。虽然飞塔公司未分析流经 OMG 网络的流量,但从理论上讲,此类流量与恶意代理网络多年来一直转发的常规流量类型应该没有区别,这包括:

       转发恶意软件命令与控制服务器(C&C服务器)服务器的流量,以隐藏真实位置。

       充当字典和暴力破解攻击的起点,以绕过限制每个IP失败尝试数量的安全解决方案。

       SQL 注入、CSRF、LFI 和 XSS 攻击,以绕过地理围栏(Geo-fencing)规则,并利用其它Web应用程序。

       由于 OMG 仍依赖传统的 Mirai 传播技术:使用弱密码对设备进行暴力破解攻击。研究人员建议用户修改物联网设备的默认密码。

       Mirai

       Mirai 因对Dyn的发起DDoS攻击使约26%的互联网站点陷入瘫痪而“成名”。Mirai使用Telnet扫描器识别在线暴露的设备,并结合漏洞利用和默认凭证感染不安全的设备,不断添加到僵尸网络中。创建Mirai恶意软件的黑客在黑客论坛上出售DDoS租用服务,利用Mirai僵尸网络对多个目标发起DDoS攻击。之后这几名黑客将Mirai源码公布出来,意图通过更多的变种将隐藏Mirai的踪迹。

       2017年12月,Mirai的新变种Satori于12月5日已经激活超过28万个不同的IP。就在12月,创建Mirai的三名黑客已经认罪伏法。然而,Mirai的变种仍在不断出现。2018年1月,研究人员unixfreaxjp发现首款专门感染ARC CPU的Linux恶意软件,并将这款新型Linux ELF恶意软件命名为“Mirai Okiru”。当时几乎所有反病毒产品均未检测出这款恶意软件。