已經(jīng)發(fā)現(xiàn)了Mirai僵尸網(wǎng)絡(luò)的一個(gè)新變種，該變種利用Tor網(wǎng)絡(luò)來防止命令服務(wù)器被刪除或劫持。Mirai是一種物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò)，過去曾用于針對著名網(wǎng)站的分布式拒絕服務(wù)(DDoS)攻擊。僵尸網(wǎng)絡(luò)傾向于通過暴力攻擊和默認(rèn)憑證的自動(dòng)破解來專注于奴役物聯(lián)網(wǎng)設(shè)備，包括路由器，監(jiān)控?cái)z像頭，智能家用電器和車輛。僵尸網(wǎng)絡(luò)用于攻擊屬于著名安全專家Brian Krebs的網(wǎng)站后不久，Mirai源代碼被發(fā)布到野外，允許其他人開發(fā)并發(fā)布他們自己的變種。Mirai的進(jìn)化版本包括Okiru，Satori，Masuta和PureMasuta。3月份，發(fā)現(xiàn)了一款??針對智能標(biāo)牌電視和無線演示系統(tǒng)的Mirai變體。

另請參閱：

遇見Torii，一種比Mirai變種更復(fù)雜的新物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

周三，趨勢科技的研究人員表示，僵尸網(wǎng)絡(luò)的新菌株與其他樣本具有相同的功能。其中包括通過易受攻擊的開放端口和默認(rèn)憑據(jù)進(jìn)行遠(yuǎn)程訪問和控制，以及執(zhí)行DDoS攻擊和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)泛洪的能力。

最新的Mirai示例主要關(guān)注TCP端口9527和34567，這可能表明優(yōu)先考慮奴役IP攝像機(jī)和DVR。

但是，考慮到惡意軟件的命令和控制(C2)服務(wù)器的位置，這種變體很有趣。當(dāng)“清除”網(wǎng)絡(luò)中存在C2服務(wù)器時(shí)，可以快速向中性發(fā)送刪除請求或至少減輕惡意軟件感染的損害 - 但是，當(dāng)它們通過.onion地址和Tor網(wǎng)絡(luò)隱藏時(shí)，可能是一項(xiàng)更具挑戰(zhàn)性的任務(wù)。

CNET：

華為禁令：關(guān)于其手機(jī)如何以及為何受到攻擊的完整時(shí)間表

“這可能是物聯(lián)網(wǎng)惡意軟件開發(fā)人員的一個(gè)發(fā)展趨勢，因?yàn)楸砻婢W(wǎng)絡(luò)中的惡意行為者的C&C服務(wù)器可以被報(bào)告并被刪除 - 這是網(wǎng)絡(luò)安全研究人員，企業(yè)和用戶都可能不得不開始防范的一種趨勢，“研究人員說。

總的來說，Mirai菌株通常會(huì)有一到四個(gè)C2。在這種情況下，存在30個(gè)硬編碼的IP地址，socks5代理用于與Tor網(wǎng)絡(luò)中的服務(wù)器通信。如果一個(gè)連接失敗，惡意軟件將嘗試其列表中的另一個(gè)服務(wù)器。

TechRepublic：

您的企業(yè)需要了解的5個(gè)實(shí)驗(yàn)性網(wǎng)絡(luò)安全趨勢

這遠(yuǎn)不是惡意軟件第一次嘗試匿名化并且使用Tor變得更難以打擊，但趨勢科技表示這可能是“其他不斷發(fā)展的物聯(lián)網(wǎng)惡意軟件系列的可能先例”。

“由于Tor的可用環(huán)境，服務(wù)器仍然是匿名的，因此使惡意軟件創(chuàng)建者和/或C&C所有者無法識(shí)別，”研究人員補(bǔ)充說。“同樣，服務(wù)器仍然在運(yùn)行，盡管發(fā)現(xiàn)，網(wǎng)絡(luò)流量可以偽裝成合法的并且仍然是加密的，并且由于Tor的其他可能的合法用途，它可能不一定被列入黑名單。”