天下高月小说,完美世界前传下载,盗墓笔记有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

警惕|七個(gè)新的Mirai變種及其幕后黑手

2016年9月，Twitter，CNN，Spotify以及許多其他網(wǎng)站被歷史上最大的DDoS擊敗?，F(xiàn)在我們知道它的名字叫Mirai，但當(dāng)時(shí)沒有人會(huì)想到該攻擊來自由一群物聯(lián)網(wǎng)(IoT)設(shè)備拼湊而成的一個(gè)僵尸網(wǎng)絡(luò)。

成都創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),玉環(huán)企業(yè)網(wǎng)站建設(shè),玉環(huán)品牌網(wǎng)站建設(shè),網(wǎng)站定制,玉環(huán)網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,玉環(huán)網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

Mirai于2016年8月由MalwareMustDie研究人員發(fā)現(xiàn)。雖然它不是第一個(gè)被發(fā)現(xiàn)的物聯(lián)網(wǎng)惡意軟件，但肯定是最突出的。

在美國東海岸大面積斷網(wǎng)之后，自稱為Anna-Senpai的惡意軟件創(chuàng)建者發(fā)布了源代碼，事情變得更加糟糕。從那時(shí)起，全世界有動(dòng)機(jī)的黑客都將它作為一個(gè)框架來創(chuàng)建自己的僵尸網(wǎng)絡(luò)。最后，原始惡意軟件的創(chuàng)建者被逮捕并在法庭上認(rèn)罪，但代碼發(fā)布的影響大大加快了僵尸網(wǎng)絡(luò)的創(chuàng)建。新的變種開始出現(xiàn)，增加了新的功能并利用了不安全的物聯(lián)網(wǎng)設(shè)備中的種種漏洞。

一、任何人都可以做到

現(xiàn)在距離Mirai出現(xiàn)已經(jīng)兩年了，新的變種仍在造成破壞和傷害。沒有經(jīng)驗(yàn)的黑客正在對(duì)原始的Mirai代碼進(jìn)行微調(diào)、部署，積累新的僵尸網(wǎng)絡(luò)大軍。在某些時(shí)候，他們甚至將僵尸網(wǎng)絡(luò)出租使用。

2018年7月，一個(gè)這樣的網(wǎng)絡(luò)犯罪分子出現(xiàn)了，當(dāng)時(shí)有幾個(gè)新的Mirai變種引起了安全研究人員的在線討論，其中一位參與者是一個(gè)沒有粉絲的Twitter賬戶，他指出研究人員在Mirai變種分類中犯了一個(gè)錯(cuò)誤。為了證明自己，他發(fā)布了七個(gè)Mirai變種源代碼的鏈接。我們下載源代碼，分類并確定這七個(gè)變體與Mirai的真正不同之處(劇透：不是那么多)。

圖1.負(fù)責(zé)代碼發(fā)布的Twitter

二、Mirai簡(jiǎn)介

為闡明Mirai變體的差異，我們快速回顧一下Mirai。原始Mirai代碼(code)的工作原理如下：

掃瞄互聯(lián)網(wǎng)易受攻擊的物聯(lián)網(wǎng)設(shè)備。
嘗試通過Telnet協(xié)議使用多個(gè)弱默認(rèn)口令來暴力破解獲取訪問權(quán)限。
成功感染成為僵尸網(wǎng)絡(luò)一部分的設(shè)備并開始掃描同網(wǎng)絡(luò)中的其它易受攻擊的設(shè)備并進(jìn)行暴力攻擊試圖感染它們。
bot定期發(fā)送報(bào)告給命令和控制服務(wù)器(C&C)。C&C向bot發(fā)送命令或指令開啟DDoS攻擊。

由于大多數(shù)Mirai變體都是原始Mirai代碼的副本，因此它們具有類似的代碼結(jié)構(gòu)。主要有三部分構(gòu)成：bot，C&C服務(wù)器和加載程序。bot部分用C語言編寫，C&C模塊用Go編寫。

在本分析中，我們將重點(diǎn)關(guān)注Mirai的以下變體：Akiru，Katrina_V1，Sora，Owari，Saikin，Josho_V3和Tokyo以及它們?cè)赽ot目錄下的三個(gè)模塊：

table.c：包含配置信息。
scanner.c：包含要掃描的口令列表，用于發(fā)現(xiàn)可能存在漏洞的設(shè)備，并將掃描報(bào)告發(fā)送到加載程序。
killer.c：包含有關(guān)應(yīng)該殺死哪些進(jìn)程的信息。

所有解碼的passwords，字符串和其他信息都可以在本文末尾的補(bǔ)充信息中找到。

三、變體分析

Mirai代碼是一個(gè)框架，任何找到新方法利用新設(shè)備的人都可以通過簡(jiǎn)單的添加來創(chuàng)建一個(gè)“新”變體。僵尸網(wǎng)絡(luò)中的關(guān)鍵變量是命名以及口令列表、所針對(duì)的體系結(jié)構(gòu)以及關(guān)閉(殺死)的端口(防止其他惡意軟件在設(shè)備中獲得立足點(diǎn))。要了解變體之間的差異，可以進(jìn)行相互比較，如下所示。

圖2：此表包含每個(gè)變體的更改摘要

現(xiàn)在讓我們來仔細(xì)看看差異。

1. 命名

所有Mirai變體都具備成功執(zhí)行檢查字符串的功能。大多數(shù)變體的check-string對(duì)應(yīng)于變體名。但也有幾個(gè)例外，例如：Tokyo變體有一個(gè)默認(rèn)的Mirai檢查字符串，Sora變體沒有名稱，而Josho_V3有一個(gè)完全不同的名稱。

2. 口令

最早的Mirai代碼使用了一個(gè)包含62個(gè)硬編碼口令的列表，對(duì)易受攻擊的物聯(lián)網(wǎng)設(shè)備進(jìn)行暴力破解(字典攻擊)。該列表經(jīng)過混淆，可使用密鑰DEADBEEF進(jìn)行解碼。

通過查看變體，我們可以看到口令列表按bot 更改。我們獲取并解碼了每個(gè)變體使用的所有口令，以確認(rèn)口令列表是否重用Mirai代碼，或者是否有重疊。最大的口令列表是在Saikin變種中實(shí)現(xiàn)的，有80個(gè)口令，其中只有4個(gè)與原始的Mirai代碼重疊。通過選擇實(shí)施不同的口令列表，攻擊者瞄準(zhǔn)不同的物聯(lián)網(wǎng)設(shè)備。

3. 新端口

就像Mirai一樣，每個(gè)變種都有一個(gè)模塊killer.c，它有幾個(gè)目的。首先，清除當(dāng)前設(shè)備上運(yùn)行的其他惡意軟件。其次，可以防止其他人通過Telnet，SSH或HTTP遠(yuǎn)程訪問設(shè)備。分析顯示，除了擁有標(biāo)準(zhǔn)的Mirai kill端口之外，七個(gè)變種中的五個(gè)(Saikin和Josho_V3除外)在其kill名單添加了新的協(xié)議/設(shè)備特定端口。這些端口是：與Netis路由器相關(guān)的端口53413，與華為HG532路由器相關(guān)的端口37215，來自Realtek SDK的端口52869 UPnP SOAP服務(wù)，以及CCTV-DVR相機(jī)的端口81。添加這些端口將允許僵尸網(wǎng)絡(luò)作者連接到更多設(shè)備，同時(shí)防止其他人遠(yuǎn)程連接到這些設(shè)備。

4. 新架構(gòu)

我們所看到的所有Mirai變體都采用了與Mirai相同的架構(gòu)，其中只有三個(gè)：Sora，Saikin和Akiru增加了兩個(gè)新架構(gòu)：ARC(Argonaut RISC Core)和RCE(Motorola RCE)。

在仔細(xì)研究Mirai及其變體之后，我們開始嘗試了解變體背后的人以及共享它們的twitter。

四、順藤摸瓜

在查看了代碼之后(本文稍后將對(duì)其進(jìn)行分析)，很容易看出雖然這段代碼能夠造成很大的破壞，但與原版Mirai源代碼相比變化并不顯著。它利用了Mirai的一些模塊化架構(gòu)來破解新設(shè)備并在試圖感染的設(shè)備中設(shè)置防御，但并沒有提供任何真正新的或值得注意的東西。

我們之所以感興趣，主要是想了解這個(gè)僵尸網(wǎng)絡(luò)的工作原理，因此我們決定開始追蹤作者的身份。

起初，我們懷疑400kQBOT Twitter背后的人是Owari/Sora的知名攻擊者和創(chuàng)造者，他曾在接受采訪時(shí)稱自己為Anarchy，也被稱為Wicked。

然而，通過簡(jiǎn)單的谷歌搜索，我們偶然發(fā)現(xiàn)了一些似乎指向不同方向的另外一些信息。我們發(fā)現(xiàn)另一個(gè)目錄包含Mirai變種的泄漏源代碼，這些代碼實(shí)際上與400kQBot泄漏的樣本相同。在已編譯的Mirai變體，編譯器和有關(guān)如何編譯Mirai源代碼的教程的源代碼中，我們發(fā)現(xiàn)了一個(gè)帶有以下消息的文本文件。作者自簽名為Scarface#1162。

圖3：來自Scarface#1162的消息

簡(jiǎn)單的名稱搜索顯示，Scarface#1162不僅在做“慈善”工作，還編寫和發(fā)布僵尸網(wǎng)絡(luò)的源代碼。此外，他還將訪問僵尸網(wǎng)絡(luò)作為一項(xiàng)服務(wù)進(jìn)行出租。

圖4：Scarface提供的僵尸網(wǎng)絡(luò)設(shè)置服務(wù)

他還有一個(gè)YouTube channel ，在那里他展示了自己的黑客技能，接管了其他人的僵尸網(wǎng)絡(luò)。在一個(gè)視頻中，他實(shí)時(shí)展示了如何接管Akiru僵尸網(wǎng)絡(luò)，然后通過聊天應(yīng)用程序渠道告知其創(chuàng)建者，我們的老朋友Wicked是“金錢團(tuán)隊(duì)員工”。除了Wicked之外，另一個(gè)熟悉的名字引起了我們的注意：Anarchy。所以，也許Wicked和Anarchy不是同一個(gè)人，而是來自同一個(gè)團(tuán)隊(duì)的兩個(gè)不同的人。

我們懷疑400kQbot和Scarface是同一個(gè)人，這一點(diǎn)在9月中旬得到確認(rèn)，他在400kQBot的推文中予以承認(rèn)。

所以，現(xiàn)在我們必須做點(diǎn)什么。Scarface正在成為一個(gè)新的，相當(dāng)具有破壞性的僵尸網(wǎng)絡(luò)的作者，并且喜歡吸引研究人員和媒體。但我們?nèi)匀粵]有弄清楚他(或她?)是誰。

我們?cè)谘芯看a時(shí)發(fā)現(xiàn)了一條線索。當(dāng)Mirai攻擊設(shè)備時(shí)，它使用檢查字符串作為成功完成一系列命令的標(biāo)志。我們沒有關(guān)于Scarface如何訪問這些變體的信息，也無法確認(rèn)他是否是作者。例如，其中一個(gè)變體Josho_V3具有不同的檢查字符串：daddyl33t：applet not found。

對(duì)于那些從未聽過這個(gè)故事的人來說，daddyl33t是一個(gè)13歲的青少年，一個(gè)正在尋找開發(fā)崗位的自由職業(yè)者，他試圖通過編譯QBot僵尸網(wǎng)絡(luò)來磨練腳本技能。也許這位13歲的尋求噱頭的人也是與Wicked和Anarchy一起賺錢的團(tuán)隊(duì)的一部分。也許他們都是同一個(gè)人。

我們發(fā)現(xiàn)自己有幾個(gè)選擇和關(guān)聯(lián)可供考慮，但沒有一個(gè)為我們指明方向。Scarface是否因?yàn)椴捎貌煌募倜麃硖幚聿煌膼阂廛浖`導(dǎo)我們所有人?他和daddyl33T一樣，還是僅僅提到他作為誤導(dǎo)?這給我們留下了一些線索，但沒有足夠的真實(shí)信息來得出任何結(jié)論。

五、總結(jié)

從泄漏的源代碼中創(chuàng)建Mirai變種超級(jí)簡(jiǎn)單，因此看到剛起步的網(wǎng)絡(luò)犯罪分子通過僵尸網(wǎng)絡(luò)賺錢也就不足為奇。僵尸網(wǎng)絡(luò)是一種多功能工具，可用于啟動(dòng)DDoS，進(jìn)行cryptomine或充當(dāng)惡意軟件代理。

在創(chuàng)建惡意軟件、出租或出售其功能相對(duì)容易的這個(gè)時(shí)代，許多人都在大量使用這項(xiàng)技術(shù)。任何人都可以使用Mirai框架在任意地方添加一些密碼，通過僵尸網(wǎng)絡(luò)名稱獲得創(chuàng)意(現(xiàn)在是表演時(shí)間)，準(zhǔn)備好感染和獲取利潤。

像這七個(gè)一樣基于Mirai的僵尸網(wǎng)絡(luò)變種每天都在進(jìn)步。他們?cè)絹碓胶玫目刂圃O(shè)備，將其他攻擊者踢出，然后鎖定他們?cè)谠O(shè)備中的位置。實(shí)際上很少有物聯(lián)網(wǎng)設(shè)備能被很好的更新或保護(hù)，從而不會(huì)被吸引到僵尸網(wǎng)絡(luò)中去。

幾十年來，我們一直擔(dān)心病毒會(huì)訪問我們的PC和手機(jī)。這是正確的，但具有諷刺意味的是，我們保護(hù)好了筆記本電腦，但安全性欠佳的物聯(lián)網(wǎng)設(shè)備卻讓個(gè)人網(wǎng)絡(luò)敞開了大門。

僵尸網(wǎng)絡(luò)是物聯(lián)網(wǎng)時(shí)代的無受害者犯罪嗎?不是這樣。雖然普通消費(fèi)者幾乎不可能確定他們的物聯(lián)網(wǎng)設(shè)備是否已被Mirai或其中一種變體感染，但它可能會(huì)對(duì)處理速度，功耗和整體性能產(chǎn)生明顯影響。隨著我們將越來越多的智能設(shè)備帶入生活，這些僵尸網(wǎng)絡(luò)感染和攻擊的能力提高，他們可能造成的破壞也隨之水漲船高。

如果在家中，家庭辦公室或小型企業(yè)都有路由器，則可以采取以下步驟來保護(hù)個(gè)人網(wǎng)絡(luò)：

一旦獲得路由器和任何物聯(lián)網(wǎng)設(shè)備，請(qǐng)立即更改默認(rèn)管理員密碼。
使用最新的固件更新，使設(shè)備保持最新狀態(tài)。
在路由器設(shè)置頁面中禁用遠(yuǎn)程管理。
如果不確定設(shè)備是否已被感染，請(qǐng)考慮將設(shè)備重置為出廠設(shè)置。

名稱欄目：警惕|七個(gè)新的Mirai變種及其幕后黑手
當(dāng)前鏈接：http://fisionsoft.com.cn/article/coccesd.html

新聞中心

其他資訊