内容简介:趋势科技的研究人员近日发现了Mirai僵尸网络的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),它使用了总共13种不同的漏洞,几乎所有漏洞都在以前的Mirai相关攻击中使用过。此次发现的是另一种典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这却是第一个发现如此多漏洞同时利用的案例。
趋势科技的研究人员近日发现了Mirai僵尸网络的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),它使用了总共13种不同的漏洞,几乎所有漏洞都在以前的Mirai相关攻击中使用过。
此次发现的是另一种典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这却是第一个发现如此多漏洞同时利用的案例。
据悉,新Mirai攻击活动发生在趋势科技上次报道 Mirai活动后的几周,当时它针对的是各种路由器。而目前这一变体也使用了先前攻击中利用的一些漏洞。
1 新Mirai变种
研究人员对新变种的初步发现得益于其设置的一个蜜罐,致力于检测与物联网(IoT)相关的攻击。检测结果显示这种恶意软件使用了不同的传播方式,并且还揭示了它使用三个XOR密钥来加密数据。使用XOR解密恶意软件的字符串揭示了此恶意软件的第一个相关指标之一为Mirai变体。解密的字符串可以在下图中看到:
-
0x22(标准Mirai字符串)
-
0x37(带“watchdog”的字符串)
-
0xea(暴力攻击的凭证:“telecomadmin”,“admintelecom”等)
显示Mirai连接的解密字符串
研究人员还发现了此变体使用的不同URL。下面列表中的第一个URL用作命令和控制(C&C)链接,其余用作下载和安装链接。在下载和安装链接中,值得注意的是使用了hopTo,这是一个免费的动态DNS(域名服务器)提供程序。
-
hxxp://32[.]235[.]102[.]123:1337
-
hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7
-
hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips
-
hxxp://ililililililililil[.]hopto[.]org/love.sh
通过查看新变种的代码,揭示了有关它如何传播的更多细节,特别是它利用了13种不同的漏洞。前三个漏洞是针对Web开发格式ThinkPHP以及某些华为和Linksys路由器中发现的易损扫描程序。
Mirai变种代码中显示的3个扫描仪功能
可以在exploit_worker()中找到此攻击中使用的其余10个漏洞的扫描程序,如下图所示:
Mirai变种代码显示的剩余10个漏洞
研究人员发现除了通过这些漏洞传播传播之外,这个Mirai变体还具有以下几种针对常见凭证的暴力破解功能,如下图所示:
2 结论
这个新Mirai变种背后的攻击者可能只是简单地从其他攻击中复制了代码,并且加以利用。更加危险的是,许多用户尚未针对此前被利用的漏洞更新修复补丁。
声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 攻防最前线:Danabot木马新变种在意大利大规模传播
- 优化变种CRC算法
- 警惕Rapid勒索病毒新变种
- Satan变种病毒分析处置手册
- Bluehero挖矿蠕虫变种空降!
- AgentTesla新变种窃取WiFi密码
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
