趋势科技的研究人员近日发现了Mirai僵尸网络的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),它使用了总共13种不同的漏洞,几乎所有漏洞都在以前的Mirai相关攻击中使用过。
此次发现的是另一种典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这却是第一个发现如此多漏洞同时利用的案例。
据悉,新Mirai攻击活动发生在趋势科技上次报道 Mirai活动后的几周,当时它针对的是各种路由器。而目前这一变体也使用了先前攻击中利用的一些漏洞。
1 新Mirai变种
研究人员对新变种的初步发现得益于其设置的一个蜜罐,致力于检测与物联网(IoT)相关的攻击。检测结果显示这种恶意软件使用了不同的传播方式,并且还揭示了它使用三个XOR密钥来加密数据。使用XOR解密恶意软件的字符串揭示了此恶意软件的第一个相关指标之一为Mirai变体。解密的字符串可以在下图中看到:
0x22(标准Mirai字符串)
0x37(带“watchdog”的字符串)
0xea(暴力攻击的凭证:“telecomadmin”,“admintelecom”等)
显示Mirai连接的解密字符串
研究人员还发现了此变体使用的不同URL。下面列表中的第一个URL用作命令和控制(C&C)链接,其余用作下载和安装链接。在下载和安装链接中,值得注意的是使用了hopTo,这是一个免费的动态DNS(域名服务器)提供程序。
hxxp://32[.]235[.]102[.]123:1337
hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7
hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips
hxxp://ililililililililil[.]hopto[.]org/love.sh
通过查看新变种的代码,揭示了有关它如何传播的更多细节,特别是它利用了13种不同的漏洞。前三个漏洞是针对Web开发格式ThinkPHP以及某些华为和Linksys路由器中发现的易损扫描程序。
Mirai变种代码中显示的3个扫描仪功能
可以在exploit_worker()中找到此攻击中使用的其余10个漏洞的扫描程序,如下图所示:
Mirai变种代码显示的剩余10个漏洞
研究人员发现除了通过这些漏洞传播传播之外,这个Mirai变体还具有以下几种针对常见凭证的暴力破解功能,如下图所示:
2 结论
这个新Mirai变种背后的攻击者可能只是简单地从其他攻击中复制了代码,并且加以利用。更加危险的是,许多用户尚未针对此前被利用的漏洞更新修复补丁。
声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
