10亿IoT设备或被僵尸网络MiraiOkiru盯上

E安全1月19日讯 安全研究工作组MalwareMustDie的研究人员unixfreaxjp发现首款专门感染ARC CPU的Linux恶意软件。这款新型Linux ELF恶意软件被命名为“Mirai Okiru”。Virustotal扫描结果显示，几乎所有反病毒产品均未检测到这款恶意软件。

ARC嵌入式处理器：

ARC嵌入式处理器是最初由ARC International 设计的系列32位CPU，广泛用于家用、移动、汽车和物联网（IoT）的SoC存储设备。ARC处理器由200多家组织机构授权。

大量IoT设备采用ARC CPU

MalwareMustDie 表示，Linux IoT威胁形势将发生变化，黑客将开始瞄准基于ARC CPU的IoT设备，此类威胁相当严重。

安全研究人员Odisseus也强调，此类僵尸网络可能会带来毁灭性影响。据估计，每年有超过15亿台设备使用ARC处理器。这就意味着潜在暴露的设备数量十分庞大，由这些暴露的设备组成的僵尸网络可能被用来实现多种恶意意图。

MalwareMustDie 表示，Mirai Okiru相当危险，因为编码人员在代码和加密中进行了“创新修改”，是第一款针对ARC内核的恶意软件。若不被阻止，这些黑客能掀起更大的风浪。

Mirai Satori与Okiru的不同之处

MalwareDustdie指出，从研究目前观察的情况来看，恶意软件Mirai Satori与Okiru这两个变种大相径庭。研究人员认为，最好通过不同的规则检测Okiru和Satori。Okiru与Satori的不同之处体现在如下方面：

配置不同：Okiru的配置分两部分加密，Telnet暴力破解字典是加密的，而Satori未分成两部分加密，也未对字典加密。Okiru的Telnet攻击登录信息较多（最多114个凭证），而Satori则拥有不同的数据库，登录信息稍短。

Satori似乎具有 DRDOS UDP DDOS攻击功能，Okiru不具有该功能。

Okiru和Satori配置中的感染跟踪命令存在区别，这表明这两个变种可能未共享同一个控制环境。

Okiru中被硬编了4种类型的路由器攻击利用代码，然而Satori并未使用这些利用代码。

Satori使用嵌入式ELF木马下载小程序，以此下载其它架构二进制文件，其编码与Okiru不同。

在使用Watchdog和“echo -en \x…”等方面存在不同。

黑客可能会利用超过10亿的设备构建强大的Mirai Okiru僵尸网络。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/885977672.shtml