Mirai 变体首次在遭攻陷设备上设置代理服务器
翻译:360代码卫士团队
Fortinet 警告称,Mirai 僵尸网络的一个新变体能够在受感染的物联网设备上设置代理服务器。
Mirai 属于具备DDoS 能力的恶意软件家族,它出现在2016年后期。Mirai 僵尸网络由物联网设备构成,能发动强大攻击,从一开始就参与到一些大规模攻击活动汇总。
由于配置表中含有 “OOMGA” 字符串,这个新变体被命名为 “OMG”。它在保留 Mirai 多数能力的同时还增加了自己的功能。
OMG 变体不同于 Mirai,它的配置中包含了两个字符串用于增加防火墙规则以确保实现两个随机端口上的流量。
然而,这个新型恶意软件变体保留了 Mirai 的原始攻击模块、杀死模块和扫描器模块,也就是说它能够执行 Mirai 所能执行的所有攻击如杀死进程(telnet、ssh、http和其它和僵尸相关的进程)、telnet 暴力登录和 DDoS 攻击。
初始化后,OMG 连接到端口 50023 上的命令和控制服务器。建立连接后,恶意软件会向服务器发送一个明确的数据信息已将自己识别为新的僵尸。
服务器会以5个字节长的字符串进行响应。其中第一个字节是关于新设备如何使用的明令:如果为0,则应作为一台代理服务器使用;如果为1,则应用于攻击中;如果大于1,则应终止连接。
安全研究人员指出,OMG使用开源软件 3proxy 作为代理服务器。在设置过程中,它为 http_proxy_port 和 socks_proxy_port 生成两个随机端口,将它们报告给明令和控制服务器并增加防火墙规则实现在这些端口上的流量活动。
设置好防火墙规则后,OMG 通过代码中内嵌的预定义配置设置 3proxy。研究人员认为攻击者在出售对物联网代理服务器的访问权限(由于命令和控制服务器在调查时并未呈现活跃状态,因此研究人员仅执行了静态分析)。
Fortinet 总结称,“这是我们首次发现Mirai 变体能够发动 DDoS 攻击且能在易受攻击的物联网设备上设置代理服务器的情况。随着这种发展的进行,我们认为越来越多的 Mirai 僵尸将会以新的货币化方式出现。”
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.securityweek.com/mirai-variant-sets-proxy-servers-compromised-devices