新闻快讯
< >

新型Mirai变种现身,将IoT设备变成代理服务器转发流量

E安全3月1日讯 美国飞塔公司的安全研究人员发现 Mirai 新变种,将其命名为“OMG”,它着重于感染物联网(IoT)和网络设备,意在将这些设备变成代理服务器,以转发恶意流量。

新型Mirai变种现身,将IoT设备变成代理服务器转发流量-E安全

物联网僵尸网络被用作代理服务器并非新概念,2017年就曾出现过许多这类僵尸网络,其中最臭名昭著的要数 Linux.ProxyM。

代理功能与DDoS功能不相上下

飞塔公司声称,这是首个除了包含 DDoS 功能,还包含代理功能的 Mirai 变种。据信息安全界的消息人士称,这种断定可能并非100%属实。恶意软件作者经常对 Mirai 僵尸的变种进行修改。自 Mirai 发布以来,其开发人员就打算将其作为代理服务器运作。大多数这些 Mirai 变种专注于部署 DDoS 功能,从未部署过大规模的传播功能,也未将重点放在代理功能上。

新型Mirai变种现身,将IoT设备变成代理服务器转发流量-E安全

飞塔公司在该变种的源代码中发现 OOMGA 字符串,因此将其命名为 OMG。虽然飞塔公司未分析流经 OMG 网络的流量,但从理论上讲,此类流量与恶意代理网络多年来一直转发的常规流量类型应该没有区别,这包括:

  • 转发恶意软件命令与控制服务器(C&C服务器)服务器的流量,以隐藏真实位置。

  • 充当字典和暴力破解攻击的起点,以绕过限制每个IP失败尝试数量的安全解决方案。

  • SQL 注入、CSRF、LFI 和 XSS 攻击,以绕过地理围栏(Geo-fencing)规则,并利用其它Web应用程序。

由于 OMG 仍依赖传统的 Mirai 传播技术:使用弱密码对设备进行暴力破解攻击。研究人员建议用户修改物联网设备的默认密码。

Mirai

Mirai 因对Dyn的发起DDoS攻击使约26%的互联网站点陷入瘫痪而“成名”。Mirai使用Telnet扫描器识别在线暴露的设备,并结合漏洞利用和默认凭证感染不安全的设备,不断添加到僵尸网络中。创建Mirai恶意软件的黑客在黑客论坛上出售DDoS租用服务,利用Mirai僵尸网络对多个目标发起DDoS攻击。之后这几名黑客将Mirai源码公布出来,意图通过更多的变种将隐藏Mirai的踪迹。

2017年12月,Mirai的新变种Satori于12月5日已经激活超过28万个不同的IP。就在12月,创建Mirai的三名黑客已经认罪伏法。然而,Mirai的变种仍在不断出现。2018年1月,研究人员unixfreaxjp发现首款专门感染ARC CPU的Linux恶意软件,并将这款新型Linux ELF恶意软件命名为“Mirai Okiru”。当时几乎所有反病毒产品均未检测出这款恶意软件。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。