安全研究工作組MalwareMustDie的研究人員unixfreaxjp發(fā)現(xiàn)首款專(zhuān)門(mén)感染ARC CPU的Linux惡意軟件。這款新型Linux ELF惡意軟件被命名為“Mirai Okiru”。Virustotal掃描結(jié)果顯示,幾乎所有反病毒產(chǎn)品均未檢測(cè)到這款?lèi)阂廛浖?/p>
ARC嵌入式處理器:
ARC嵌入式處理器是最初由ARC International 設(shè)計(jì)的系列32位CPU,廣泛用于家用、移動(dòng)、汽車(chē)和IoT的SoC存儲(chǔ)設(shè)備。ARC處理器由200多家組織機(jī)構(gòu)授權(quán)。
大量設(shè)備采用ARC CPUMalwareMustDie 表示,Linux IoT威脅形勢(shì)將發(fā)生變化,黑客將開(kāi)始瞄準(zhǔn)基于ARC CPU的IoT設(shè)備。這將是相當(dāng)嚴(yán)重的威脅。
安全研究人員Odisseus也強(qiáng)調(diào),此類(lèi)僵尸網(wǎng)絡(luò)可能會(huì)帶來(lái)毀滅性影響。據(jù)估計(jì),每年有超過(guò)15億臺(tái)設(shè)備使用ARC處理器。這就意味著潛在暴露的設(shè)備數(shù)量十分龐大,由這些暴露的設(shè)備組成的僵尸網(wǎng)絡(luò)可能被用來(lái)實(shí)現(xiàn)多種惡意意圖。
MalwareMustDie 表示,Mirai Okiru相當(dāng)危險(xiǎn),因?yàn)榫幋a人員在代碼和加密中進(jìn)行了“創(chuàng)新修改”。它是第一款針對(duì)ARC內(nèi)核的惡意軟件。若不被阻止,這些黑客能掀起更大的風(fēng)浪。
Mirai Satori與Okiru的不同之處MalwareDustdie指出,從研究目前觀察的情況來(lái)看,惡意軟件Mirai Satori與Okiru這兩個(gè)變種大相徑庭。研究人員認(rèn)為,最好通過(guò)不同的規(guī)則檢測(cè)Okiru和Satori。Okiru與Satori的不同之處體現(xiàn)在如下方面:
配置不同:Okiru的配置分兩部分加密,Telnet暴力破解字典是加密的,而Satori未分成兩部分加密,也未對(duì)字典加密。Okiru的Telnet攻擊登錄信息較多(最多114個(gè)憑證),而Satori則擁有不同的數(shù)據(jù)庫(kù),登錄信息稍短。
Satori似乎具有 DRDOS UDP DDOS攻擊功能,Okiru不具有該功能。
Okiru和Satori配置中的感染跟蹤命令存在區(qū)別,這表明這兩個(gè)變種可能未共享同一個(gè)控制環(huán)境。
Okiru中被硬編了4種類(lèi)型的路由器攻擊利用代碼,然而Satori并未使用這些利用代碼。
Satori使用嵌入式ELF木馬下載小程序,以此下載其它架構(gòu)二進(jìn)制文件,其編碼與Okiru不同。
在使用Watchdog和“echo -en \x…”等方面存在不同。
黑客可能會(huì)利用超過(guò)10億的設(shè)備構(gòu)建強(qiáng)大的Mirai Okiru僵尸網(wǎng)絡(luò)。
京公網(wǎng)安備 11010502049343號(hào)