2016年8月, 來(lái)自@ MalwareMustDie 團(tuán)隊(duì)的研究人員@ unixfreaxjp率先發(fā)現(xiàn)了可怕的僵尸網(wǎng)絡(luò)Mirai,現(xiàn)在這位研究人員在惡意軟件社區(qū)宣告了新的重大事件。
unixfreaxjp有史以來(lái)第一次發(fā)現(xiàn)一種旨在感染ARC CPU的Linux惡意軟件,這種新的Linux ELF惡意軟件被稱為MIRAI OKIRU。這是惡意程序第一次專門針對(duì)基于ARC的系統(tǒng),Mirai Okiru在發(fā)現(xiàn)時(shí)幾乎所有的殺毒引擎都檢測(cè)不到。
MalwareMustDie說(shuō),“ 請(qǐng)注意這一事實(shí),并準(zhǔn)備好病毒Mirai(特別是Okiru)對(duì)尚未感染的設(shè)備可能產(chǎn)生的更大影響。”
Linux物聯(lián)網(wǎng)的威脅形勢(shì)正在迅速變化,騙子將開始瞄準(zhǔn)基于ARC CPU的物聯(lián)網(wǎng)設(shè)備。
MalwareMustDie表示,從這一天起,Linux物聯(lián)網(wǎng)感染的形勢(shì)將會(huì)改變。 每年ARC CPU已經(jīng)提供給超過(guò)十億的物聯(lián)網(wǎng)設(shè)備使用。因此,這些設(shè)備正是黑客瞄準(zhǔn)的目標(biāo),這將是一個(gè)嚴(yán)重的威脅 !
正如同事_odisseus強(qiáng)調(diào)的那樣 ,這種僵尸網(wǎng)絡(luò)的影響可能是毀滅性的,ARC嵌入式處理器每年出貨量預(yù)計(jì)超過(guò)15億。這意味著可能暴露的設(shè)備數(shù)量是龐大的,并且如此強(qiáng)大的僵尸網(wǎng)絡(luò)可以用于多種惡意目的。
“ARC (Argonaut RISC Core)嵌入式處理器是由ARC International最初設(shè)計(jì)的一系列32位CPU。它們廣泛用于存儲(chǔ),家庭,移動(dòng),汽車和物聯(lián)網(wǎng)應(yīng)用的SoC器件。ARC處理器已經(jīng)被超過(guò)200個(gè)組織授權(quán)和運(yùn)每年超過(guò)1.5十億的產(chǎn)品。”
——來(lái)自維基百科
“Mirai Okiru變種是非常危險(xiǎn)的,如果你看到變種代碼+加密方式中編碼器采用了怎樣具體的創(chuàng)新改造,你會(huì)明白我的意思,現(xiàn)在他們是第一個(gè)瞄準(zhǔn)ARC核心的惡意軟件。如果不阻止的話,這些家伙會(huì)變得更加混亂。”MalwareMustDie寫道。
如MalwareDustdie所解釋的,Mirai Satori變體與Okiru非常不同,這一點(diǎn)非常重要。
1.“ 從我們迄今觀察到的情況來(lái)看。這兩種類型是非常不同的(在幾個(gè)常見的相似特征之中),我們認(rèn)為有不同的規(guī)則來(lái)檢測(cè)Mirai變體Okiru和Satori;
2.一些簡(jiǎn)單的特征將Okiru和Satori變體區(qū)分開來(lái):
配置是不同的,Okiru變種的配置是分為兩部分加密包括遠(yuǎn)程登錄密碼加密, Satori并沒(méi)有將它分成兩部分部分,而且不加密默認(rèn)密碼。此外,Okiru的遠(yuǎn)程登錄攻擊登錄信息有點(diǎn)長(zhǎng)(可以達(dá)到114個(gè)憑證,最多可以統(tǒng)計(jì)),而Satori擁有不同的以及更短的數(shù)據(jù)庫(kù)。;
Satori似乎通過(guò)隨機(jī)的UDP有“TSource引擎查詢” 共同的分布式“反射”(DRDoS)攻擊功能,而Okiru似乎沒(méi)有這個(gè)功能;
Okiru和Satori在他們的配置中編寫的感染跟進(jìn)命令有點(diǎn)不同,表明他們似乎沒(méi)有共享相同的環(huán)境的可能性;
最多四種類型的路由器攻擊漏洞利用代碼在Okiru變體中只被硬編碼,但是Satori完全不使用這些漏洞;
Satori(見反編碼的VT注釋部分)使用小型嵌入式ELF木馬下載器來(lái)下載與Okiru相比編碼不同的其他架構(gòu)二進(jìn)制文件(請(qǐng)參閱反轉(zhuǎn)代碼在VT注釋中);
(還有更多的未成年人的東西,你可以注意到上述觀點(diǎn)中展示 的圖片,如看門狗用法的差異, 命令 “echo -en x …” 的用法等)
ARC核心CPU基礎(chǔ)編譯Mirai Okiru ELF惡意軟件(僵尸網(wǎng)絡(luò)客戶端)(ELF 32位LSB可執(zhí)行文件,ARC內(nèi)核Tangent-A5,版本1(SYSV),動(dòng)態(tài)鏈接,解釋器/lib/ld-uClibc.so.0 / Linux 4.8.0)。
構(gòu)建一個(gè)由十億個(gè)設(shè)備組成的強(qiáng)大Mirai Okiru僵尸網(wǎng)絡(luò)的風(fēng)險(xiǎn)是可以實(shí)現(xiàn)的。
京公網(wǎng)安備 11010502049343號(hào)