华盟君引言“趋势科技(Trend Micro)的研究人员发现了一种新的Mirai僵尸网络,它在Tor网络中有一个命令和控制服务器,可以让用户很难进行删除。”
趋势科技(Trend Micro)的专家们发现了一个新的Mirai僵尸网络,它使用隐藏在Tor网络中的命令和控制,这一选择保护了操作人员的匿名性,并使执法部门难以进行删除操作。
“在发现一种新的Miori变种后不到一个月,我们通过研究发现了另一种新的Mirai样本。趋势科技发布的分析报告中写道。“然而,与之前的版本相比,我们发现这个样本是不同的,因为网络罪犯为了匿名而将命令和控制(C&C)服务器放在Tor网络中。”
隐藏恶意软件的命令中心是为了让删除变得更加复杂。2016年,专家MalwareMustDie在针对物联网设备的大规模攻击中发现了Mirai恶意软件。
由于Mirai的代码被泄露到网上,许多变种出现在了威胁场景中。Satori、Masuta、Wicked Mirai、JenX、Omni和OMG只是2018年在网上出现的最后几个变体。
Trend Micro发现的新版本实现了与之前版本相同的功能,它的目标是TCP端口9527和34567,这种情况表明它的运营商的目标是IP摄像头和dvr。
该配置包括可能的缺省凭据,可用于感染其他主机。
除了使用socks5连接外,此示例中实现的通信协议与以前的Mirai变体相同。专家还确定了一个字节序列,表示从C&C服务器通过UDP洪水攻击发送的DDoS命令,目标是一个特定的IP地址。
在其他地方寻找相关的示例和信息进行比较时,其他开放源代码(如VirusTotal)生成了来自相同URL源的相同散列值的报告,该URL源是一个开放目录,也承载其他设备架构的示例。报告继续写道。“报告中的其他细节还显示了另一台分发服务器。”
专家们发现这个特殊的Mirai僵尸网络样本对于在Tor中部署C&C服务器非常有趣,它可能会逃避对其IP地址的跟踪,并避免被执法部门关闭。这让人想起2017年报道的BrickerBot僵尸网络。
“虽然之前有报道称其他恶意软件的C&C隐藏在Tor中,但我们认为这可能是其他进化中的物联网恶意软件家族的一个先例。由于Tor的可用环境,服务器保持匿名,因此无法识别恶意软件的创建者和/或C&C所有者。帖子总结道。同样,尽管发现了Tor,但服务器仍然在运行,网络流量可以伪装成合法的并保持加密,而且由于Tor的其他可能合法用途,它不一定会被列入黑名单。
另一个分布服务器和其他为其他设备体系结构设计的示例的存在,可能意味着这些恶意参与者打算在更大范围内应用此操作。然而,带有签名和基于行为机制的检测系统仍然可以检测和阻止这些恶意软件入侵。”
