盤點迄今為止Mirai的7大變種

背景介紹

正如我們所知，世間唯一不變的，就是變化本身。同樣地，惡意軟體也正在快速發展變化，新功能和特徵不斷湧現，並且越來越難以發現和消除它們。其中，Mirai殭屍網路就是快速發展，且不斷改進的惡意軟體的一個突出示例。

2016年10月21日，Mirai殭屍網路發起針對美國互聯網域名解析服務商DYN的DDoS攻擊，而DYN給許多美國著名網站提供域名解析服務，DYN伺服器被攻擊導致Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問，美國主要公共服務、社交平台、民眾網路服務紛紛癱瘓。

據了解，在這場被稱為「美國東海岸斷網」的事件中，僅DYN一家公司的直接損失就超過了1.1億美元，而事件的整體損失不可估量。比如，Mirai就險些搞砸美國大選，當時距離大選不足半月，美國大選顧問成員Barbara Simons表示，這樣的攻擊足以影響美國的海外居民和駐軍人員參與大選的電子投票過程，如果任由Mirai繼續蔓延，極有可能毀掉整場大選。

事實上，自2016年殭屍網路Mirai的源代碼被公布以來，安全研究人員就已經發現了許多基於Mirai的新變種。這些新變種除了具備Mirai最初的Telnet暴力破解登錄功能以外，還被增添了許多新的功能（如漏洞利用），以針對更多的系統架構。

Mirai殭屍網路7大變種

以下就是迄今為止Mirai殭屍網路的7大變種，研究人員可以通過分析和學習Mirai殭屍網路的發展演變形式，來預測和預防其他惡意軟體家族可能出現的演變路徑。

1.Satori

2017年12月，一個名為「Satori」的新型殭屍網路開始迅速組建，在不到12個小時里已經在超過28萬個唯一IP上被激活。分析發現，Satori殭屍網路利用了華為家庭網關路由器中的一個遠程代碼執行漏洞，還有一個Realtek設備的老漏洞。

雖然身為Mirai殭屍網路變體，但是Satori卻與之前的Mirai之間存在兩個顯著的區別：

·傳播方式不同——之前的Mirai在感染物聯網設備後，會下載一個Telnet掃描器組件，試圖通過掃描來找出易受攻擊的設備，並使用Mirai木馬程序進行感染；Satori則並不使用掃描器組件，而是利用兩個嵌入式漏洞，企圖感染連接到埠37215和52869上的遠程設備。這使得Satori成為物聯網蠕蟲，無需其他組件即可自行傳播。

·目標設備不同——之前的Mirai主要通過掃描2323和23埠來尋找易受攻擊的設備；Satori的目標是連接到37215和52869埠上且存在兩個已知漏洞中任意一個，但並未進行修復的設備。

2.Okiru

2018年1月，網路安全研究工作組Malware Must Die的研究人員unixfreaxjp發現首款專門感染ARC CPU的Linux惡意軟體，這款新型Linux ELF惡意軟體被命名為「Mirai Okiru」。

事實上，ARC這一目標選擇非常重要，因為據估計，每年有超過15億台設備使用ARC處理器。這就意味著潛在暴露的設備數量十分龐大，由這些暴露的設備組成的殭屍網路可能被用來實現多種惡意意圖。

一些研究人員認為，2018年1月首次確認的Okiru是Satori的一個版本，但事實上Mirai Satori與Okiru這兩個變種可謂大相徑庭，其不同之處體現在如下方面：

·配置不同：Okiru的配置分兩部分加密，Telnet暴力破解字典是加密的，而Satori未分成兩部分加密，也未對字典加密。Okiru的Telnet攻擊登錄信息較多（最多114個憑證），而Satori則擁有不同的資料庫，登錄信息稍短；

·Satori似乎具有DRDOS UDP DDOS攻擊功能，Okiru不具有該功能；

·Okiru和Satori配置中的感染跟蹤命令存在區別，這表明這兩個變種可能未共享同一個控制環境；

·Okiru中被硬編了4種類型的路由器攻擊利用代碼，然而Satori並未使用這些利用代碼；

·Satori使用嵌入式ELF木馬下載小程序，以此下載其它架構二進位文件，其編碼與Okiru不同；

3.Masuta

雖然惡意軟體可以在許多方面利用漏洞，但是協議利用對於威脅行為者來說更為理想，因為它們通常具有更廣的範圍。一個協議可以由不同的供應商/模型來實現，並且協議本身中的一個錯誤可以被運用到更廣泛的設備上。Masuta及其子變體PureMasuta就是利用SOAP協議漏洞來誘使目標設備運行威脅行為者發布的命令的。

「Masuta」是2018年1月份被研究人員發現的一款新型Mirai惡意軟體變體，其開發人員Mirai Okiru還曾創建過肆虐全球的Satori殭屍網路。不過，Masuta的代碼更加彰顯了「專業開發」的屬性，無論是其附加功能，還是程序員處理代碼痕迹的方式都是前幾個版本的變種所不具備的。Masuta的發展不僅展現了漏洞利用家族的演變，還展現了個人程序員的演變。

4.PureMasuta

Masuta出現後，一名被稱為Nexus Zeta（專門從事SOAP漏洞攻擊）的黑客進而開發了Masuta殭屍網路的一個新變種——PureMasuta。據悉，Masuta和PureMasuta共享同一個C2伺服器（93.174.93.63），PureMasuta可能是Masuta的一個進化版本。該版本的變種威脅更大，目標依然是用戶的路由器，並能夠讓殭屍網路擴展到易受攻擊的物聯網設備身上。

研究人員指出，PureMasuta殭屍網路中引入的武器化bug在HNAP（家庭網路管理協議）中，該協議本身基於SOAP協議。使用hxxp：//purenetworks.com/HNAP1/GetDeviceSettings來製作一個可以繞過驗證的SOAP查詢。另外，由於不正確的字元串處理，可以運行系統命令（導致任意代碼執行）。當兩個問題結合在一起時，就可以形成一個首先繞過驗證的SOAP請求，然後導致任意代碼執行。

5.OMG

2018年2月，FortiGuard實驗室再次發現了一個新的Mirai變種，他們將其命名為「OMG」。無論與原始的Mirai程序還是之後的變種相比都不同，OMG的目的在於將物聯網設備轉變為代理伺服器，以此來獲取金錢。

與原始的Mirai程序相同，OMG的配置表在最開始同樣處於加密狀態，需要使用密鑰才能解開。另外，OMG保留了原始程序的多個模塊，以此來保留Mirai的最初功能（如殺死進程、Telnet暴力破解登錄以及發動 DDoS攻擊）。

不同的是，OMG在原始程序的基礎上添加了防火牆規則，這源於OMG將使用3proxy（一款開源軟體）來實現代理伺服器功能。為了使代理伺服器能夠正常工作，OMG必須設置防火牆，以允許通信流量穿透兩個隨機埠。

在初始化模塊之後，OMG會試圖連接到命令和控制（C&C）伺服器。但在FortiGuard實驗室的分析過程中，該C&C伺服器並未做出響應。因此，研究人員認為，OMG開發者的目的僅在於出售代理伺服器的訪問許可權，並以此直接獲利。

6.IoTroop

IOTroop是針對物聯網（IoT）設備的新型殭屍網路，它通過使用許多與Mirai相同的惡意程序來感染全球的IoT設備，進而允許黑客遠程控制大規模的IoT設備，並執行分散式拒絕服務攻擊（DDoS），其攻擊目標從醫院、運輸系統到政治組織不等。

據悉，Check Point最初是在2017年9月中旬檢測到了IOTroop的存在，發現它的擴散速度非常地快。作為Mirai殭屍網路的變種，IOTroop顯然要更先進，功能也更複雜，它利用的不僅是IoT設備的預設憑證，還利用了更廣泛的漏洞，以從美國到澳大利亞更大範圍的產品為目標。例如：針對GoAhead無線IP攝像機，攻擊者利用了去年3月確定的已知的旁路身份驗證漏洞（CVE-2017-8225），影響了1250多個相機型號。

與Mirai殭屍網路相比，IOTroop另外一個巨大的變化在於：不會在設備上放置Mirai風格的DDoS引擎，相反地，它會放置一個不斷與C2伺服器通信的載入器。然後，該伺服器就可以將任意一種有效載荷傳遞給受害者設備，從而將網路變成一些人願意付費的非法形式。

7.Wicked Mirai

2018年5月，Fortinet的安全專家發現了一種新的Mirai殭屍網路變體，稱為「Wicked Mirai」，它為Mirai惡意軟體家族增添了一個新的危險功能：持久性。

Wicked Mirai吸收了其他變體中的一些先進功能，例如漏洞掃描、從C＆C伺服器按需下載有效負載，以及在許多常見的家庭路由器固件中添加代碼，從而使惡意軟體得以持久存在——也就是說，能夠在設備重啟後繼續保留在設備上。

未來，Mirai殭屍網路可能會繼續發展演變，同時也會向惡意軟體市場展示快讀代碼演變和敏捷思維的可能性。網路安全世界面臨的挑戰是防禦者能否應對攻擊者的快速改變。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！