更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全3月1日讯 美国飞塔公司的安全研究人员发现 Mirai 新变种,将其命名为“OMG”,它着重于感染物联网(IoT)和网络设备,意在将这些设备变成代理服务器,以转发恶意流量。
物联网僵尸网络被用作代理服务器并非新概念,2017年就曾出现过许多这类僵尸网络,其中最臭名昭著的要数 Linux.ProxyM。
代理功能与DDoS功能不相上下
飞塔公司声称,OMG 是首个除了包含 DDoS 功能,还包含代理功能的 Mirai 变种。据信息安全界的消息人士称,这种断定可能并非100%属实。恶意软件作者经常对 Mirai 僵尸的变种进行修改。自 Mirai 发布以来,其开发人员就打算将其作为代理服务器运作。大多数这些 Mirai 变种专注于部署 DDoS 功能,从未部署过大规模的传播功能,也未将重点放在代理功能上。
飞塔公司在该变种的源代码中发现 OOMGA 字符串,因此将其命名为 OMG。虽然飞塔公司未分析流经 OMG 网络的流量,但从理论上讲,此类流量与恶意代理网络多年来一直转发的常规流量类型应该没有区别,这包括:
转发恶意软件命令与控制服务器(C&C服务器)服务器的流量,以隐藏真实位置。
充当字典和暴力破解攻击的起点,以绕过限制每个 IP 失败尝试数量的安全解决方案。
SQL 注入、CSRF、LFI 和 XSS 攻击,以绕过地理围栏(Geo-fencing)规则,并利用其它 Web 应用程序。
由于 OMG 仍依赖传统的 Mirai 传播技术:使用弱密码对设备进行暴力破解攻击。研究人员建议用户修改物联网设备的默认密码。
Mirai
Mirai 因对Dyn发起DDoS攻击使约26%的互联网站点陷入瘫痪而“成名”。Mirai 使用 Telnet 扫描器识别在线暴露的设备,并结合漏洞利用和默认凭证感染不安全的设备,不断添加到僵尸网络中。
创建 Mirai 恶意软件的黑客在黑客论坛上出售 DDoS 租用服务,利用 Mirai 僵尸网络对多个目标发起DDoS攻击。之后这几名黑客将 Mirai 源码公布出来,意图通过更多的变种隐藏 Mirai 的踪迹。
2017年12月,Mirai 的新变种 Satori 于12月5日已经激活超过28万个不同的IP。就在12月,创建Mirai的三名黑客认罪伏法。然而 Mirai 的变种仍在不断出现,2018年1月,研究人员 unixfreaxjp 发现首款专门感染 ARC CPU 的 Linux 恶意软件,并将这款新型Linux ELF恶意软件命名为“Mirai Okiru”。当时几乎所有反病毒产品均未检测出这款恶意软件。
注:本文由E安全编译报道,转载请注明原文地址
推荐阅读:
Mirai僵尸网络 “元凶”落网
Mirai出现新变种,内置有域名生成算法
“DoubleDoor”僵尸网络首次同时链接两个漏洞绕过防火墙攻击
400万手机被僵尸网络DressCode感染,谷歌下架数百个APP
10亿IoT设备或被僵尸网络MiraiOkiru盯上
除了发动DDoS攻击,僵尸网络还能干啥?
卡巴斯基:构建ATM僵尸网络并不困难
▼点击“阅读原文” 查看更多精彩内容