Mirai僵尸网络的一个新变种被曝光,被感染设备将被转化为网络恶意行为的代理服务器。
FortiGuard实验室的研究人员发现了被称为 "OMG" 的僵尸网络。该恶意软件在源代码部分被发现有曾经在"Mirai"中出现的字符串OOMGA。
2016年,Mirai僵尸网络被用来接管全球成千上万的设备,并攻击了DNS 提供商Dyn,造成了大范围严重的互联网中断。
由于 Mirai的开发者在那年晚些时候公开发布了恶意软件的源代码,这造成了很多黑客基于此,定制了自己的工具。
FortiGuard实验室持续关注Mirai 僵尸网络,发现这些修改过的基于 Mirai 的bot通过添加新的技术而有所不同,包括:使用新的攻击技术和针对更多的体系结构。
最新的 OMG 加入了不断增长的 Mirai 家族, 其中已经拥有了Satori, Okiru, Masuta等变种。
MiraiOMG 修改了原始 Mirai 代码中可找到的一些配置, 但仍包括:攻击、杀进程和扫描模块等原始模块。
因此,OMG 可以执行一些原始 Mirai 的功能,例如:杀死进程、使用弱密码“爆破”设备进行传播和执行 DoS 攻击。
一旦IoT设备被感染, 恶意软件就会尝试与 c&c 服务器建立联系, 并发送一条定义的数据消息,将新的被感染设备标识为新的 bot。
网络通信,请注意端口号
然后, 服务器分析数据消息, 并指示恶意软件执行三种功能之一:将设备转到代理服务器、通过 bot 启动 DDoS 攻击或终止连接。
Fortinet的研究人员认为, 这种新变种背后的威胁行为者可能会向其他犯罪分子出售对受控服务器的访问权。
研究人员指出: "犯罪分子在做各种“肮脏”的工作, 如:网络盗窃、侵入系统等时, 使用代理来增加匿名性."
使用代理服务器赚取资金的一种方法是将这些服务器的访问权出售给其他的犯罪分子。这就是这个最新的基于 Mirai bot背后的动机。
这是第一次看到经过修改的 Mirai 能够进行 DDOS 攻击,并在易受攻击的大量设备上设置代理服务器。随着这种发展,相信越来越多的基于 Mirai 的bot将会涌现出新的盈利方式。
All samples detected as Linux/Mirai.A!tr
9110c043a7a6526d527b675b4c50319c3c5f5c60f98ce8426c66a0a103867e4e
d3ed96829df1c240d1a58ea6d6690121a7e684303b115ca8b9ecf92009a8b26a
9b2fe793ed900e95a72731b31305ed92f88c2ec95f4b04598d58bd9606f8a01d
CC
54.234.123.22
参考:
https://www.fortinet.com/blog/threat-research/omg--mirai-based-bot-turns-iot-devices-into-proxy-servers.html
领取专属 10元无门槛券
私享最新 技术干货