针对新处理器和架构的Mirai僵尸网络变种

在2019年2月下旬，Palo Alto Networks的Unit42在公网发现了一系列新的Mirai恶意软件样本，这些样本被编译后运行在新的处理器和架构上。

Unit42的报告称“新发现的样本是为Altera Nios II，OpenRISC，Tensilica Xtensa和Xilinx MicroBlaze处理器编译的”，这使得使用这种Mirai新变种的攻击者能够扩展其攻击面并瞄准新的设备。

虽然这也可以通过添加更多的漏洞来使用，但是添加更多支持的体系结构是另一种简单的方法，可以增加他们控制的僵尸网络中的设备数量。

此外，Unit42的研究人员表示，“如果最新的创新技术导致受感染设备的数量增加，那就意味着Mirai攻击者可以获得更多的火力来用于拒绝服务攻击。”

这些Mirai变种还“利用原始Mirai源代码中使用的标准字节XOR的修改版本（在toggle_obf函数中实现）”，该代码使用11个8字节密钥，相当于0x5A 按字节进行异或操作。

此外，“开发人员”还添加了一个名为attack_method_ovh的新DDoS攻击选项，该选项与原始Mirai源代码用于TCP SYN DDoS攻击的参数相同。

Unit 42在一个未受保护的服务器上托管的开放目录中发现的新样本带有许多漏洞，这些漏洞也可以在之前的Mirai样本中找到，包括ThinkPHP远程执行代码和D-Link DSL2750B OS命令注入，以及针对美国Netgear，华为和Realtek设备使用远程代码执行漏洞的攻击。

根据研究人员的说法，这些漏洞利用程序在这些重新编译的Mirai版本中也被使用，这一事实表明，使用这种僵尸网络恶意软件的不同变种进行多次攻击的背后，很可能是同一个行凶者。

在相关新闻中，就在上个月，Palo Alto Networks的Unit42还发现了一个Mirai变种，其中包含LG Supersign电视和企业WePresent WiPG-1000无线演示系统的11个新漏洞，是众多目标中最显眼的新设备。

不断发展的恶意软件威胁

此前，在9月份，Unit 42还发现了Mirai僵尸网络的一个变种，报告显示Mirai僵尸网络切换了目标，利用去年的Equifax攻击事件中使用的漏洞攻击Apache Struts服务器，同时新的Gafgyt僵尸网络则瞄准了SonicWall防火墙，这是对企业资产的进一步攻击。

“这些新功能为僵尸网络提供了一个巨大的攻击面。特别是，针对企业线还可以使其获得更大的带宽，最终为僵尸网络提供更强大的火力来进行DDoS攻击，”Unit42的研究人员表示。

Mirai是一种自我传播的僵尸网络恶意软件，旨在攻击物联网（IoT）设备，如路由器，数字视频录像机和IP摄像机，在成功攻击它们之后将它们转换为“僵尸”，以后可用作DDoS攻击。

在2016年，一些不法分子传播巨大的Mirai僵尸网络，这些僵尸网络由数十万台受感染的设备组成，能够造成超过650Gbps的DDoS攻击，每次攻击期间都会影响数十万台设备[1, 2] 。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/mirai-botnet-variants-targeting-new-processors-and-architectures/