新闻快讯
< >

10亿IoT设备或被僵尸网络MiraiOkiru盯上

E安全1月19日讯 安全研究工作组MalwareMustDie的研究人员unixfreaxjp发现首款专门感染ARC CPU的Linux恶意软件。这款新型Linux ELF恶意软件被命名为“Mirai Okiru”。Virustotal扫描结果显示,几乎所有反病毒产品均未检测到这款恶意软件。

Mirai Okiru盯上基于ARC的IoT设备-E安全

ARC嵌入式处理器:

ARC嵌入式处理器是最初由ARC International 设计的系列32位CPU,广泛用于家用、移动、汽车和IoT的SoC存储设备。ARC处理器由200多家组织机构授权。

大量设备采用ARC CPU

MalwareMustDie 表示,Linux IoT威胁形势将发生变化,黑客将开始瞄准基于ARC CPU的IoT设备。这将是相当严重的威胁。

安全研究人员Odisseus也强调,此类僵尸网络可能会带来毁灭性影响。据估计,每年有超过15亿台设备使用ARC处理器。这就意味着潜在暴露的设备数量十分庞大,由这些暴露的设备组成的僵尸网络可能被用来实现多种恶意意图。

MalwareMustDie 表示,Mirai Okiru相当危险,因为编码人员在代码和加密中进行了“创新修改”。它是第一款针对ARC内核的恶意软件。若不被阻止,这些黑客能掀起更大的风浪。

Mirai Okiru盯上基于ARC的IoT设备-E安全

Mirai Satori与Okiru的不同之处

MalwareDustdie指出,从研究目前观察的情况来看,恶意软件Mirai Satori与Okiru这两个变种大相径庭。研究人员认为,最好通过不同的规则检测Okiru和Satori。Okiru与Satori的不同之处体现在如下方面:

  • 配置不同:Okiru的配置分两部分加密,Telnet暴力破解字典是加密的,而Satori未分成两部分加密,也未对字典加密。Okiru的Telnet攻击登录信息较多(最多114个凭证),而Satori则拥有不同的数据库,登录信息稍短。

  • Satori似乎具有 DRDOS UDP DDOS攻击功能,Okiru不具有该功能。

  • Okiru和Satori配置中的感染跟踪命令存在区别,这表明这两个变种可能未共享同一个控制环境。

  • Okiru中被硬编了4种类型的路由器攻击利用代码,然而Satori并未使用这些利用代码。

  • Satori使用嵌入式ELF木马下载小程序,以此下载其它架构二进制文件,其编码与Okiru不同。

  • 在使用Watchdog和“echo -en \x…”等方面存在不同。

黑客可能会利用超过10亿的设备构建强大的Mirai Okiru僵尸网络。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。