mirai okiru:首个旨在感染 arc cpu 的新型 linux elf 恶意软件
2018-01-16 14:31:46
外媒 1 月 14 日信息,malwaremustdie 团队首次发现了一种用于感染 的 linux elf 恶意软件—— mirai okiru,旨在针对基于 arc 的系统。据悉,mirai okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到,再加上目前 linux 物联网的威胁形势迅速变化,因此研究人员认为攻击者将会利用 mirai okiru 瞄准基于 arc cpu 的物联网设备,从而导致毁灭性的影响。
arc (argonaut risc core)嵌入式处理器是一系列由 arc international 设计的32 位 cpu,其广泛用于存储、家用、移动、汽车和物联网应用的 soc 器件。
2016 年 8 月,malwaremustdie 团队的研究员 unixfreaxjp 首先发现了 mirai 僵尸网络 ,时隔不到两年, unixfreaxjp 又注意到恶意软件社区出现了新的攻击形式——mirai okiru,其影响程度极为深远,因为 arc 嵌入式处理器已经被 200 多个组织授权,并且每年出货量达到 15 亿,这意味着可能暴露的设备数量是非常巨大的。此外,除了攻击 arc,其他恶意目的也可能存在。
为了更加深入了解 mirai okiru ,malwaredustdie 团队分析了 okiru 与 satori 变体(另一种僵尸网络)的不同之处:
1、配置不同,okiru 变体的配置是以两部分 w/ telnet 攻击密码加密,而 satori 并不分割这两个部分,也不加密默认密码。并且 okiru 的远程攻击登录信息稍长一点(最多可以达到 114 个凭证),而 satori 则拥有不同和更短的数据库。
2、satori 似乎可以利用 “ tsource engine query ”进行分布式反射拒绝服务(drdos)功能(通过随机 udp),而 okiru 则没有这个功能。
3、在 okiru 和 satori 的配置中,感染跟进的命令有点不同,也就说他们没有共享相同的 herding 环境。
4、四种类型的路由器漏洞利用代码只被发现在 okiru 变体中硬编码,satori 完全不使用这些漏洞 。
5、satori (见反编码的 vt 注释部分)是使用小型嵌入式 elf 木马下载器来下载其他的架构二进制文件,与 okiru 相比其编码方面存在不同 (请参阅反转代码在 vt 注释中)。
消息来源:,编译:榆榆,校审:fox;
本文由 编译整理,封面来源于网络;【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信