已經(jīng)發(fā)現(xiàn)了Mirai僵尸網(wǎng)絡(luò)的一個(gè)新變種,該變種利用Tor網(wǎng)絡(luò)來防止命令服務(wù)器被刪除或劫持。Mirai是一種物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò),過去曾用于針對著名網(wǎng)站的分布式拒絕服務(wù)(DDoS)攻擊。僵尸網(wǎng)絡(luò)傾向于通過暴力攻擊和默認(rèn)憑證的自動(dòng)破解來專注于奴役物聯(lián)網(wǎng)設(shè)備,包括路由器,監(jiān)控?cái)z像頭,智能家用電器和車輛。僵尸網(wǎng)絡(luò)用于攻擊屬于著名安全專家Brian Krebs的網(wǎng)站后不久,Mirai源代碼被發(fā)布到野外,允許其他人開發(fā)并發(fā)布他們自己的變種。Mirai的進(jìn)化版本包括Okiru,Satori,Masuta和PureMasuta。3月份,發(fā)現(xiàn)了一款??針對智能標(biāo)牌電視和無線演示系統(tǒng)的Mirai變體。
另請參閱:
遇見Torii,一種比Mirai變種更復(fù)雜的新物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)
周三,趨勢科技的研究人員表示,僵尸網(wǎng)絡(luò)的新菌株與其他樣本具有相同的功能。其中包括通過易受攻擊的開放端口和默認(rèn)憑據(jù)進(jìn)行遠(yuǎn)程訪問和控制,以及執(zhí)行DDoS攻擊和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)泛洪的能力。
最新的Mirai示例主要關(guān)注TCP端口9527和34567,這可能表明優(yōu)先考慮奴役IP攝像機(jī)和DVR。
但是,考慮到惡意軟件的命令和控制(C2)服務(wù)器的位置,這種變體很有趣。當(dāng)“清除”網(wǎng)絡(luò)中存在C2服務(wù)器時(shí),可以快速向中性發(fā)送刪除請求或至少減輕惡意軟件感染的損害 - 但是,當(dāng)它們通過.onion地址和Tor網(wǎng)絡(luò)隱藏時(shí),可能是一項(xiàng)更具挑戰(zhàn)性的任務(wù)。
CNET:
華為禁令:關(guān)于其手機(jī)如何以及為何受到攻擊的完整時(shí)間表
“這可能是物聯(lián)網(wǎng)惡意軟件開發(fā)人員的一個(gè)發(fā)展趨勢,因?yàn)楸砻婢W(wǎng)絡(luò)中的惡意行為者的C&C服務(wù)器可以被報(bào)告并被刪除 - 這是網(wǎng)絡(luò)安全研究人員,企業(yè)和用戶都可能不得不開始防范的一種趨勢,“研究人員說。
總的來說,Mirai菌株通常會(huì)有一到四個(gè)C2。在這種情況下,存在30個(gè)硬編碼的IP地址,socks5代理用于與Tor網(wǎng)絡(luò)中的服務(wù)器通信。如果一個(gè)連接失敗,惡意軟件將嘗試其列表中的另一個(gè)服務(wù)器。
TechRepublic:
您的企業(yè)需要了解的5個(gè)實(shí)驗(yàn)性網(wǎng)絡(luò)安全趨勢
這遠(yuǎn)不是惡意軟件第一次嘗試匿名化并且使用Tor變得更難以打擊,但趨勢科技表示這可能是“其他不斷發(fā)展的物聯(lián)網(wǎng)惡意軟件系列的可能先例”。
“由于Tor的可用環(huán)境,服務(wù)器仍然是匿名的,因此使惡意軟件創(chuàng)建者和/或C&C所有者無法識(shí)別,”研究人員補(bǔ)充說。“同樣,服務(wù)器仍然在運(yùn)行,盡管發(fā)現(xiàn),網(wǎng)絡(luò)流量可以偽裝成合法的并且仍然是加密的,并且由于Tor的其他可能的合法用途,它可能不一定被列入黑名單。”